Symfony problem z secured_area

Question

Witam

Zaczynam uczyć się Symfony, jak na razie zacząłem od logowania, dobrze mi szło do momentu gdy przyszło mi dodać obronę od ataków csrf, dodałem do framework.yaml "csrf_protection: true", w formularzu dodałem ukrytego inputa i mam problem teraz z security.yaml, dodałem 

csrf_token_generator: security.csrf.token_manager

i gdy loguje się to prawidłowo mnie przekierowuje, ale mam problem z dodaniem secured_area, próbowałem już w każde miejsce dodać i ciągle jakieś errory wyskakują, już nie wiem co zrobić.

 

    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false

        main:
            anonymous: ~
            pattern: ^/
            http_basic: ~
            provider: our_db_provider
            form_login:
                login_path: login
                check_path: login
                csrf_token_generator: security.csrf.token_manager

 

Answer 1

Masz tutaj tutorial ze strony Symfony: http://symfony.com/doc/current/security/csrf.html

Wszystko jest tutaj wytłumaczone od początku, więc nie powinieneś mieć problemu ze zrozumieniem.

Pozdrawiam.

Comments

właśnie z tego poradnika brałem, tylko mam problem przy pierwszym kroku z CSRF Protection in Login Forms, a dokładnie to nie wiem w które miejsce dodać 

secured_area:

---

tak jak jest pokazane, tuż pod firewalls

security:
    firewalls:
        secured_area:
            form_login:
                csrf_token_generator: security.csrf.token_manager

 

---

jak tak dodaje to jest błąd:

Unrecognized option "secured_area" under "security.firewalls.main"

---

Wyślij mi swój plik security.yaml, może coś poradzę.

---

security:
    # https://symfony.com/doc/current/security.html#where-do-users-come-from-user-providers
    encoders:
        App\Entity\Users:
            algorithm: bcrypt

    providers:
        our_db_provider:
            entity:
                class: App\Entity\Users
                property: username

    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false

        main:
            secured_area:
                anonymous: ~
                pattern: ^/
                http_basic: ~
                provider: our_db_provider
                form_login:
                    login_path: login
                    check_path: login
                    csrf_token_generator: security.csrf.token_manager

            # activate different ways to authenticate

            # http_basic: true
            # https://symfony.com/doc/current/security.html#a-configuring-how-your-users-will-authenticate

            # form_login: true
            # https://symfony.com/doc/current/security/form_login_setup.html

    # Easy way to control access for large sections of your site
    # Note: Only the *first* access control that matches will be used
    access_control:
        # - { path: ^/admin, roles: ROLE_ADMIN }
        # - { path: ^/profile, roles: ROLE_USER }

 

---

security:
    # https://symfony.com/doc/current/security.html#where-do-users-come-from-user-providers
    encoders:
        App\Entity\Users:
            algorithm: bcrypt
 
    providers:
        our_db_provider:
            entity:
                class: App\Entity\Users
                property: username
 
    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false
 
        main:
            secured_area:
                anonymous: ~
                pattern: ^/
                http_basic: ~
                provider: our_db_provider
            form_login:
                login_path: login
                check_path: login
                csrf_token_generator: security.csrf.token_manager
 
            # activate different ways to authenticate
 
            # http_basic: true
            # https://symfony.com/doc/current/security.html#a-configuring-how-your-users-will-authenticate
 
            # form_login: true
            # https://symfony.com/doc/current/security/form_login_setup.html
 
    # Easy way to control access for large sections of your site
    # Note: Only the *first* access control that matches will be used
    access_control:
        # - { path: ^/admin, roles: ROLE_ADMIN }
        # - { path: ^/profile, roles: ROLE_USER }

Spróbuj tak, chociaż nie jestem pewien. Znalazłem coś takiego:
https://symfony.com/doc/master/reference/configuration/security.html
I tym się sugerowałem. Ja też nie dawno zacząłem przygodę ze symfony :D Dokładnie to 3 dni temu

---

ten kod co wysłałeś też nie działa, obczaje ten link, edit nic nie znalałem o 

secured_area:

---

Ciekawy jestem co jest nie tak. Jutro spróbuje to dodać do swojego projektu i sprawdzę czy działa. Niestety nie ma mnie w domu i tylko tak linkami rzucam.
Jeszcze możesz podejrzeć kod z aplikacji demo:
https://github.com/symfony/demo/blob/master/config/packages/security.yaml

---

hmm, widzę że w wersji demo jest generator tokenu, ale nie jest nigdzie dodany 

secured_area

więc chyba tego nie trzeba dodawać, poczekam na odpowiedz innych co z tym fantem zrobić, dziękuje za pomoc i poświęcony czas :)

---

Mam rozwiązanie. Mój plik security.yaml
 

security:
    # https://symfony.com/doc/current/security.html#where-do-users-come-from-user-providers
    encoders:
        App\Entity\User:
            algorithm: bcrypt

    providers:
        database_users:
                    entity: { class: App\Entity\User, property: username }
    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false
        main:
              anonymous: ~
              form_login:
                  login_path: login
                  check_path: login
                  csrf_token_generator: security.csrf.token_manager
              logout:
                  path:   /wyloguj
                  target: /
    # Easy way to control access for large sections of your site
    # Note: Only the *first* access control that matches will be used
    access_control:
        - { path: ^/admin, roles: ROLE_ADMIN }

Mój formularz logowania:

        <form action="{{ path('login') }}" method="post" class="form-grup col-12 col-md-4">
            <label for="username">Nazwa użytkownika:</label>
            <input type="text"
                   class="form-control"
                   id="username"
                   name="_username"

					{% if last_username is defined %}
                        value="{{ last_username }}"
					{% endif %}
            />
            <label for="password">Hasło:</label>
            <input type="password"
                   class="form-control"
                   id="password"
                   name="_password" />

            <input type="hidden"
                   name="_csrf_token"
                   value="{{ csrf_token('authenticate') }}">

            <input type="hidden"
                   name="_target_path"
                   value="start_page" />
            <br>
            <button type="submit" class="btn btn-primary" name="login">Zaloguj</button>
        </form>

A w kontrolerze zostało to co Ty masz. Wcześniej oczywiście zainstalowałem paczkę Composerem.

composer require security-csrf form

 

---

czyli wychodzi na to że 

secured_area

nie trzeba dodawać do security.yaml

---

Dokładnie :)

---

A jesteś mi w stanie pomóc z ajaxem?

https://forum.pasja-informatyki.pl/331130/symfony-ajax-zle-wysyla-zadanie