Chapters

36 Chapters | 3:44:20 |

01

Configuración y formas de ampliar la API Platform

4:39
02

Proveedores de estado, procesadores y un campo personalizado

4:49
03

Decorar el proveedor de estado principal

4:47
04

Decorar el CollectionProvider

7:12
05

Procesador de estado más sencillo

5:47
06

Ejecutar Código "Al Publicar"

6:05
07

Recurso totalmente personalizado

4:19
08

Proveedor de estado de recursos personalizado

5:04
09

Utilizar un identificador personalizado (fecha)

7:35
10

Proveedor de elementos de recursos personalizados

3:26
11

Procesador de estado de recursos personalizado

6:48
12

Relacionar ApiResources personalizados

5:13
13

Incrustar DTO personalizados

4:47
14

Paginación en un Recurso Personalizado

8:18
15

Clase de usuario Dto

4:24
16

stateOptions + entityClass Magia

10:07
17

Entidades, DTO y el objeto "central

6:24
18

Proveedor: Transformar Entidades en DTOs

4:47
19

Entidad -> DTO Proveedor de estado del elemento

4:11
20

DTO -> Procesador del Estado de la Entidad

7:39
21

Aprovechar el procesador central

7:11
22

Controlar campos sin grupos

4:31
23

Otras estrategias de campo condicional

6:04
24

Validación y seguridad del DTO

6:13
25

MicroMapper: Mapeo DTO Central

10:11
26

Proveedor y procesador reutilizable Entidad->Dto

4:11
27

¡Rápido! Crear un DTO DragonTreasure

9:51
28

Dtos, mapeo y profundidad máxima de las relaciones

8:05
29

Hacer que DragonTreasureApi sea escribible

7:23
30

DTO y Seguridad

9:39
31

Seguridad en el campo con Parche

6:17
32

Activar un "Publicar

4:14
33

Campos de relación escribibles

5:09
34

Escribir en una relación de colección

5:08
35

Colección escribible mediante el PropertyAccessor

6:29
36

Validador más sencillo para comprobar el cambio de estado

7:23

> APIs > API Platform 3 Parte 3: Recursos personalizados

Buy Access to Course

31.

Seguridad en el campo con Parche

Autoplay

Keep on Learning!

If you liked what you've learned so far, dive in! Subscribe to get
access to this tutorial plus video, code and script downloads.

Start your All-Access Pass

Buy just this tutorial for $12.00

Previous Chapter

Next Chapter

With a Subscription, click any sentence in the script to jump to that part of the video!

En un giro heroico de valentía, hemos decidido ejecutar todas las pruebas del tesoro del dragón:

symfony php bin/phpunit tests/Functional/DragonTreasureResourceTest.php

Y... tenemos tres fallos, incluido uno detestAdminCanPatchToEditTreasure en la línea 200... que dice->assertJsonMatched('isPublished', true). Eso falla porque... ¡no tenemos en absoluto un campo isPublished en nuestro DragonTreasureApi!

Añadir el campo isPublished

Esto se debe a que se trata de un campo interesante. Antes, este campo sólo lo podían leer los usuarios administradores o el propietario. Volvamos a añadir este campo y mantengamos ese comportamiento. Digamos public bool $isPublished = false.

            
Copy Code

Show All Lines

                        70 lines
            |
            src/ApiResource/DragonTreasureApi.php
        
Show Lines

                                                    // ... lines 1 - 40
                            
            class DragonTreasureApi
        
            {
        
Show Lines

                                                    // ... lines 43 - 58
                            
                public bool $isPublished = false;
        
Show Lines

                                                    // ... lines 60 - 68
                            
            }

Entonces... entra en el mapeador para rellenar esto. Aquí abajo, deshazte de TODOy di $entity->setIsPublished($dto->isPublished).

            
Copy Code

Show All Lines

                        57 lines
            |
            src/Mapper/DragonTreasureApiToEntityMapper.php
        
Show Lines

                                                    // ... lines 1 - 12
                            
            class DragonTreasureApiToEntityMapper implements MapperInterface
        
            {
        
Show Lines

                                                    // ... lines 15 - 35
                            
                public function populate(object $from, object $to, array $context): object
        
                {
        
Show Lines

                                                    // ... lines 38 - 51
                            
                    $entity->setIsPublished($dto->isPublished);
        
Show Lines

                                                    // ... lines 53 - 54
                            
                }
        
            }

Así, si cambiamos isPublished en la llamada a la API, el nuevo valor se sincronizará con la entidad.

En el otro lado... no importa dónde... di$dto->isPublished = $entity->getIsPublished().

            
Copy Code

Show All Lines

                        56 lines
            |
            src/Mapper/DragonTreasureEntityToApiMapper.php
        
Show Lines

                                                    // ... lines 1 - 13
                            
            class DragonTreasureEntityToApiMapper implements MapperInterface
        
            {
        
Show Lines

                                                    // ... lines 16 - 33
                            
                public function populate(object $from, object $to, array $context): object
        
                {
        
Show Lines

                                                    // ... lines 36 - 41
                            
                    $dto->isPublished = $entity->getIsPublished();
        
Show Lines

                                                    // ... lines 43 - 53
                            
                }
        
            }

¡Genial! Aún no tenemos seguridad... así que cuando ejecutamos las pruebas:

symfony php bin/phpunit tests/Functional/DragonTreasureResourceTest.php

Algunas pasan, pero la original sigue fallando - testGetCollectionOfTreasures - porque no espera que isPublished esté ahí.

Mostrar condicionalmente isPublished mediante seguridad

Fíjate: ésta es la primera prueba, y en la parte inferior hemos afirmado que éstas son las propiedades exactas que deberíamos tener si obtenemos tesoros como usuario anónimo. Por tanto, como no somos el propietario ni un administrador, no deberíamos ver isPublished

¿Cómo podemos hacerlo? Antes hemos trabajado con DragonTreasureApiVoter. Cuando lo llamamos con el atributo EDIT, comprueba si somos administradores y, si lo somos, nos da acceso. También comprueba si somos el propietario. Ésta es exactamente la lógica que queremos utilizar para determinar si el campo isPublished debe serializarse.

Así que... ¡vamos a utilizarla! Sobre esta propiedad, digamos#[ApiProperty(security: 'is_granted("EDIT", object)')].

            
Copy Code

Show All Lines

                        71 lines
            |
            src/ApiResource/DragonTreasureApi.php
        
Show Lines

                                                    // ... lines 1 - 40
                            
            class DragonTreasureApi
        
            {
        
Show Lines

                                                    // ... lines 43 - 58
                            
                #[ApiProperty(security: 'is_granted("EDIT", object)')]
        
                public bool $isPublished = false;
        
Show Lines

                                                    // ... lines 61 - 69
                            
            }

Si quieres, puedes cambiar este atributo por otra cosa -como OWNER -, si te resulta más claro. EDIT suena un poco raro aquí... ya que sólo estamos decidiendo si debemos incluir este campo en la respuesta... no "editarlo"... pero tú decides.

Y lo que es más importante, veamos si esto funciona. Ejecuta las pruebas:

symfony php bin/phpunit tests/Functional/DragonTreasureResourceTest.php

¡Se ha solucionado nuestra primera prueba! Ya no se muestra el campo isPublished. Pero, curiosamente, hemos hecho fallar otra prueba. ¡A la porra! Ahora estestPublishTreasure - falla en la línea 244.

Vamos a buscarlo. Vale, como su nombre indica, estamos probando si podemos publicar este tesoro. Creamos un tesoro que es'isPublished' => false, iniciamos sesión como su propietario y, a continuación, enviamos una petición a patch() para establecer isPublished en true. Por último, afirmamos que el JSON de la respuesta tiene isPublished verdadero. Y eso es lo que falla.

La opción de seguridad ApiProperty en las operaciones de parcheo

¿Por qué? Me llevó un poco de depuración desentrañar este misterio. El problema es que, cuando se deserializa el JSON, isPublished no es escribible.

La expresión security se llama tanto al serializar como al deserializar: al tomar el JSON de la petición y al actualizar el objeto. Por alguna razón, durante la deserialización, ¡nuestra expresión security devuelve false!

La razón es... posiblemente un error: Tengo una incidencia abierta en API Platform. Cuando realizas una petición a patch(), nuestro proveedor de datos carga primero el objeto desde la base de datos. A pesar de ello, cuando se llama a la expresión durante la deserialización,object siempre es nulo. Y como nuestro votante sólo admite si object es un DragonTreasureApi, éste devuelve false. En última instancia, ningún votante admite esto, y cuando ocurre, se deniega el acceso. El resultado final es que isPublishedno es escribible.

La solución es un poco extraña, pero quédate conmigo. Básicamente, vamos a permitir el acceso a este campo si object === null ois_granted("EDIT", object).

            
Copy Code

Show All Lines

                        75 lines
            |
            src/ApiResource/DragonTreasureApi.php
        
Show Lines

                                                    // ... lines 1 - 40
                            
            class DragonTreasureApi
        
            {
        
Show Lines

                                                    // ... lines 43 - 58
                            
                // Object is null ONLY during deserialization: so this allows isPublished
        
                // to be writable in ALL cases (which is ok because the operations are secured).
        
                // During serialization, object will always be a DragonTreasureApi, so our
        
                // voter is called.
        
                #[ApiProperty(security: 'object === null or is_granted("EDIT", object)')]
        
                public bool $isPublished = false;
        
Show Lines

                                                    // ... lines 65 - 73
                            
            }

Piensa en esto. Si estamos leyendo un DragonTreasure, entonces object nunca es null. Siempre tendremos un objeto, por lo que siempre se llamará al votante. Este object === null sólo ocurrirá durante la deserialización: cuando estemos comprobando si podemos escribir este campo. Esto hace que el campo sea siempre escribible. Esto parece un problema, pero no lo es, porque ya tenemos security aquí arriba en Post() y Patch(). En Patch, sólo el propietario puede editar este objeto. Así que una vez superada la seguridad de Patch, ya sabemos que puede editar este objeto. Así que, aquí abajo, está bien que siempre podamos editar este campo.

Si esto te parece demasiado raro, otra estrategia es dejar la seguridad API fuera del campo por completo. Entonces, utilizaríamos el mapeador para manejar la configuración condicional del campo isPublished. Podríamos poner aquí una lógica de seguridad que dijera básicamente

Sólo establece el campo isPublished en el DTO si eres el propietario. En caso contrario deja isPublished nulo por defecto.

Es bueno recordar que tenemos el control total de los datos a través de nuestros mapeadores.

Bien, volvamos atrás y añadamos de nuevo nuestra expresión de seguridad. Y vuelve también al mapeador: Acabo de darme cuenta de que también queremos mantener ese código isPublished... sólo que no en la declaración if.

Muy bien, ahora vuelve a ejecutar todas las pruebas.

symfony php bin/phpunit tests/Functional/DragonTreasureResourceTest.php

Y... ¡ooh! ¡Tan cerca! Sólo nos queda un fallo en testPublishTreasure. Esto prueba que, cuando se publica un tesoro, enviamos una notificación. Veamos cómo podemos resolverlo en nuestro nuevo sistema

Symfony 6.3 API Platform 3

What PHP libraries does this tutorial use?

// composer.json
{
    "require": {
        "php": ">=8.1",
        "ext-ctype": "*",
        "ext-iconv": "*",
        "api-platform/core": "3.1.x-dev", // 3.1.x-dev
        "doctrine/annotations": "^2.0", // 2.0.1
        "doctrine/doctrine-bundle": "^2.8", // 2.10.2
        "doctrine/doctrine-migrations-bundle": "^3.2", // 3.2.4
        "doctrine/orm": "^2.14", // 2.16.1
        "nelmio/cors-bundle": "^2.2", // 2.3.1
        "nesbot/carbon": "^2.64", // 2.69.0
        "phpdocumentor/reflection-docblock": "^5.3", // 5.3.0
        "phpstan/phpdoc-parser": "^1.15", // 1.23.1
        "symfony/asset": "6.3.*", // v6.3.0
        "symfony/console": "6.3.*", // v6.3.2
        "symfony/dotenv": "6.3.*", // v6.3.0
        "symfony/expression-language": "6.3.*", // v6.3.0
        "symfony/flex": "^2", // v2.3.3
        "symfony/framework-bundle": "6.3.*", // v6.3.2
        "symfony/property-access": "6.3.*", // v6.3.2
        "symfony/property-info": "6.3.*", // v6.3.0
        "symfony/runtime": "6.3.*", // v6.3.2
        "symfony/security-bundle": "6.3.*", // v6.3.3
        "symfony/serializer": "6.3.*", // v6.3.3
        "symfony/stimulus-bundle": "^2.9", // v2.10.0
        "symfony/string": "6.3.*", // v6.3.2
        "symfony/twig-bundle": "6.3.*", // v6.3.0
        "symfony/ux-react": "^2.6", // v2.10.0
        "symfony/ux-vue": "^2.7", // v2.10.0
        "symfony/validator": "6.3.*", // v6.3.2
        "symfony/webpack-encore-bundle": "^2.0", // v2.0.1
        "symfony/yaml": "6.3.*", // v6.3.3
        "symfonycasts/micro-mapper": "^0.1.0" // v0.1.1
    },
    "require-dev": {
        "doctrine/doctrine-fixtures-bundle": "^3.4", // 3.4.4
        "mtdowling/jmespath.php": "^2.6", // 2.6.1
        "phpunit/phpunit": "^9.5", // 9.6.11
        "symfony/browser-kit": "6.3.*", // v6.3.2
        "symfony/css-selector": "6.3.*", // v6.3.2
        "symfony/debug-bundle": "6.3.*", // v6.3.2
        "symfony/maker-bundle": "^1.48", // v1.50.0
        "symfony/monolog-bundle": "^3.0", // v3.8.0
        "symfony/phpunit-bridge": "^6.2", // v6.3.2
        "symfony/stopwatch": "6.3.*", // v6.3.0
        "symfony/web-profiler-bundle": "6.3.*", // v6.3.2
        "zenstruck/browser": "^1.2", // v1.4.0
        "zenstruck/foundry": "^1.26" // v1.35.0
    }
}