Chapters

36 Chapters | 3:44:20 |

01

Configuración y formas de ampliar la API Platform

4:39
02

Proveedores de estado, procesadores y un campo personalizado

4:49
03

Decorar el proveedor de estado principal

4:47
04

Decorar el CollectionProvider

7:12
05

Procesador de estado más sencillo

5:47
06

Ejecutar Código "Al Publicar"

6:05
07

Recurso totalmente personalizado

4:19
08

Proveedor de estado de recursos personalizado

5:04
09

Utilizar un identificador personalizado (fecha)

7:35
10

Proveedor de elementos de recursos personalizados

3:26
11

Procesador de estado de recursos personalizado

6:48
12

Relacionar ApiResources personalizados

5:13
13

Incrustar DTO personalizados

4:47
14

Paginación en un Recurso Personalizado

8:18
15

Clase de usuario Dto

4:24
16

stateOptions + entityClass Magia

10:07
17

Entidades, DTO y el objeto "central

6:24
18

Proveedor: Transformar Entidades en DTOs

4:47
19

Entidad -> DTO Proveedor de estado del elemento

4:11
20

DTO -> Procesador del Estado de la Entidad

7:39
21

Aprovechar el procesador central

7:11
22

Controlar campos sin grupos

4:31
23

Otras estrategias de campo condicional

6:04
24

Validación y seguridad del DTO

6:13
25

MicroMapper: Mapeo DTO Central

10:11
26

Proveedor y procesador reutilizable Entidad->Dto

4:11
27

¡Rápido! Crear un DTO DragonTreasure

9:51
28

Dtos, mapeo y profundidad máxima de las relaciones

8:05
29

Hacer que DragonTreasureApi sea escribible

7:23
30

DTO y Seguridad

9:39
31

Seguridad en el campo con Parche

6:17
32

Activar un "Publicar

4:14
33

Campos de relación escribibles

5:09
34

Escribir en una relación de colección

5:08
35

Colección escribible mediante el PropertyAccessor

6:29
36

Validador más sencillo para comprobar el cambio de estado

7:23

> APIs > API Platform 3 Parte 3: Recursos personalizados

Buy Access to Course

24.

Validación y seguridad del DTO

Autoplay

Keep on Learning!

If you liked what you've learned so far, dive in! Subscribe to get
access to this tutorial plus video, code and script downloads.

Start your All-Access Pass

Buy just this tutorial for $12.00

Previous Chapter

Next Chapter

With a Subscription, click any sentence in the script to jump to that part of the video!

¡Hablemos de validación! Cuando ->post() a nuestra ruta, el objeto interno será nuestro objeto UserApi... lo que significa que eso es lo que se validará. Observa. No envíes ningún campo a la petición POST... y ejecuta la prueba:

symfony php bin/phpunit --filter=testPostToCreateUser

Oh uh: ¡error 500! Y... Seguro que adivinas por qué. Dice

User::setEmail(): El argumento nº 1 ($email) debe ser de tipo string

Procedente de nuestro procesador de estado en la línea 59. Como no hay ninguna restricción de validación en UserApi, la propiedad email sigue siendo null. Entonces, aquí en la línea 59, intentamos transferir ese nulo email a nuestra entidad. No le gusta, hay una breve pelea a puñetazos, y vemos este error. E incluso si aceptara un valor nulo, acabaría fallando en la base de datos porque allí no se permite que el correo electrónico sea nulo.

Nos falta validación. Afortunadamente, es fácil de añadir... una vez que sepas que la validación se producirá en el objeto UserApi, no en la entidad.

Configurar las operaciones

Pero antes de desbocarnos y añadir restricciones, vamos a especificar las operations... para que sólo tengamos las que necesitamos: new Get(), new GetCollection(), new Post()... le añadiremos algo de configuración en un momento... así como new Patch() y new Delete().

Antes, cuando nuestra entidad User era la #[ApiResource], la operación Post() tenía una opción extra validationContext con groups establecida en Default ypostValidation. Gracias a ello, cuando se producía la operación Post(), se ejecutaban todos los validadores normales más los que estuvieran en este grupopostValidation. Veremos por qué necesitamos esto dentro de un momento.

Añadir las restricciones

Vale, ¡hora de añadir restricciones! $id ni siquiera es escribible... queremos que $email sea #[NotBlank]... y que sea un #[Email]. Queremos que $username sea #[NotBlank]... entonces $password es interesante. $password debería poder estar en blanco si estamos haciendo una petición PATCH para editarlo... pero ser obligatorio en una petición POST. Para conseguirlo, añade #[NotBlank] pero con una opción groups establecida enpostValidation.

Esta restricción sólo se ejecutará cuando estemos validando el grupo postValidation... lo que significa que sólo se ejecutará para la operación Post().

Vale, ¡con esto debería bastar! Ejecuta ahora la prueba:

symfony php bin/phpunit --filter=testPostToCreateUser

Y... ¡un bonito código de estado 422!

¿Constricción de entidad única?

Por cierto, otra de las restricciones de validación que teníamos antes en la entidad Userera #[UniqueEntity]. Eso impedía que alguien creara dos usuarios con el mismo email o username. No la tenemos en UserApi, pero deberíamos. La restricción #[UniqueEntity], por desgracia, sólo funciona en entidades... así que tendríamos que crear un validador personalizado para tenerla en UserApi. No vamos a preocuparnos por eso, pero quería señalarlo.

De todos modos, de vuelta a la prueba, vuelve a añadir los campos. Validación, ¡comprobada!

Añadir seguridad

Lo siguiente que tenemos que volver a añadir -código que antes vivía en User - es la seguridad. Aquí arriba, en el nivel API, para todo el recurso, se requiere is_granted("ROLE_USER").

Esto significa que tenemos que iniciar sesión para utilizar cualquiera de las operaciones de este recurso... por defecto. Entonces anulamos eso. En Post(), definitivamente no podemos estar conectados todavía porque estamos registrando a nuestro usuario. Digamos quesecurity está configurado como is_granted("PUBLIC_ACCESS"), que es un atributo especial que siempre pasará.

Aquí abajo para Patch(), teníamos security('is_granted("ROLE_USER_EDIT")').

En nuestra aplicación, hemos decidido que es necesario tener este tole especial para poder editar usuarios.

De acuerdo Vamos a ejecutar todas las pruebas para User:

symfony php bin/phpunit tests/Functional/UserResourceTest.php

Y... oh. ¡No está mal! ¡Tres de cuatro! El fallo viene detestTreasuresCannotBeStolen(). ¡Eso no suena bien!

Si lo comprobamos... ésta es una prueba interesante: ->patch() para actualizar un $user, y luego intentamos establecer la propiedad dragonTreasures a un tesoro que es propiedad de un usuario diferente. Puedes ver que este $dragonTreasure es propiedad de $otherUser... pero estamos actualizando $user.

Lo que estamos intentando hacer es robar este $dragonTreasure de $otherUser y convertirlo en parte de $user. A los dragones no les gusta que les roben, así que estamos afirmando que se trata de un código de estado 422 ... porque antes teníamos un validador personalizado que lo impedía.

Bueno, sigue existiendo -es este TreasuresAllowedOwnerChangeValidator -, pero no se aplica a UserApi... y hay que actualizarlo para que funcione con él. Lo haremos más adelante.

Y lo que es más importante ahora mismo, ¡la propiedad dragonTreasures ni siquiera es escribible! En UserApi, encima de $dragonTreasures, tenemos writable: false. Dentro de un rato, vamos a cambiar eso para que podamos volver a escribir dragonTreasures. Y cuando lo hagamos, traeremos de vuelta ese validador y nos aseguraremos de que esta prueba pasa.

Siguiente: Si observas el procesador o el proveedor que hemos creado, estas clases son bastante genéricas. Casi podrían funcionar para UserApi y una futura claseDragonTreasureApi... y cualquier otra clase DTO que creemos que esté vinculada a una entidad. La única parte que es específica de User es el código que mapea hacia y desde la entidad User y la clase UserApi.

Si pudiéramos manejar ese mapeo... en algún sistema que viva fuera de nuestro proveedor y procesador... podríamos reutilizarlos. ¡Hagamos esto realidad a continuación!

1 Comment

Sort By

SamuelVicent 13 days ago

Hi,
I wonder if you can give us a hand on this matter :)
We are trying to validate that a GET api call comes with at least one of two defined filter fields with valida data, but don't know how to accomplish this and what's the best way.
Let me give you and example, imagine we have a user entity with 2 filter fields: id and email. We need only one of them with a non empty right value, and we need a validation in a GET request before making a custom filter.
Thanks a lot!

| Reply |

Symfony 6.3 API Platform 3

What PHP libraries does this tutorial use?

// composer.json
{
    "require": {
        "php": ">=8.1",
        "ext-ctype": "*",
        "ext-iconv": "*",
        "api-platform/core": "3.1.x-dev", // 3.1.x-dev
        "doctrine/annotations": "^2.0", // 2.0.1
        "doctrine/doctrine-bundle": "^2.8", // 2.10.2
        "doctrine/doctrine-migrations-bundle": "^3.2", // 3.2.4
        "doctrine/orm": "^2.14", // 2.16.1
        "nelmio/cors-bundle": "^2.2", // 2.3.1
        "nesbot/carbon": "^2.64", // 2.69.0
        "phpdocumentor/reflection-docblock": "^5.3", // 5.3.0
        "phpstan/phpdoc-parser": "^1.15", // 1.23.1
        "symfony/asset": "6.3.*", // v6.3.0
        "symfony/console": "6.3.*", // v6.3.2
        "symfony/dotenv": "6.3.*", // v6.3.0
        "symfony/expression-language": "6.3.*", // v6.3.0
        "symfony/flex": "^2", // v2.3.3
        "symfony/framework-bundle": "6.3.*", // v6.3.2
        "symfony/property-access": "6.3.*", // v6.3.2
        "symfony/property-info": "6.3.*", // v6.3.0
        "symfony/runtime": "6.3.*", // v6.3.2
        "symfony/security-bundle": "6.3.*", // v6.3.3
        "symfony/serializer": "6.3.*", // v6.3.3
        "symfony/stimulus-bundle": "^2.9", // v2.10.0
        "symfony/string": "6.3.*", // v6.3.2
        "symfony/twig-bundle": "6.3.*", // v6.3.0
        "symfony/ux-react": "^2.6", // v2.10.0
        "symfony/ux-vue": "^2.7", // v2.10.0
        "symfony/validator": "6.3.*", // v6.3.2
        "symfony/webpack-encore-bundle": "^2.0", // v2.0.1
        "symfony/yaml": "6.3.*", // v6.3.3
        "symfonycasts/micro-mapper": "^0.1.0" // v0.1.1
    },
    "require-dev": {
        "doctrine/doctrine-fixtures-bundle": "^3.4", // 3.4.4
        "mtdowling/jmespath.php": "^2.6", // 2.6.1
        "phpunit/phpunit": "^9.5", // 9.6.11
        "symfony/browser-kit": "6.3.*", // v6.3.2
        "symfony/css-selector": "6.3.*", // v6.3.2
        "symfony/debug-bundle": "6.3.*", // v6.3.2
        "symfony/maker-bundle": "^1.48", // v1.50.0
        "symfony/monolog-bundle": "^3.0", // v3.8.0
        "symfony/phpunit-bridge": "^6.2", // v6.3.2
        "symfony/stopwatch": "6.3.*", // v6.3.0
        "symfony/web-profiler-bundle": "6.3.*", // v6.3.2
        "zenstruck/browser": "^1.2", // v1.4.0
        "zenstruck/foundry": "^1.26" // v1.35.0
    }
}