> APIs > API Platform 3: Seguridad para tus tesoros
Buy Access to Course
22.

Permitir que los usuarios administradores editen cualquier tesoro

|

Share this awesome video!

|

Keep on Learning!

Start your All-Access Pass

With a Subscription, click any sentence in the script to jump to that part of the video!

Login Subscribe

Hemos configurado las cosas para que sólo el propietario de un tesoro pueda editarlo. Ahora ha llegado un nuevo requisito desde las alturas: los usuarios administradores deben poder editar cualquier tesoro. Eso significa que un usuario que tenga ROLE_ADMIN.

¡A la prueba-móvil! Añade un public function testAdminCanPatchToEditTreasure(). A continuación, crea un usuario administrador con UserFactory::createOne() pasando los roles aROLE_ADMIN:

144 lines | tests/Functional/DragonTreasureResourceTest.php
// ... lines 1 - 12
class DragonTreasureResourceTest extends ApiTestCase
{
// ... lines 15 - 138
public function testAdminCanPatchToEditTreasure(): void
{
$admin = UserFactory::createOne(['roles' => ['ROLE_ADMIN']]);
}
}

Métodos de Estado de Foundry

Eso funcionará bien. Pero si necesitamos crear muchos usuarios admin en nuestras pruebas, podemos añadir un acceso directo a Foundry. Abre UserFactory. Vamos a crear algo llamado método "estado". En cualquier lugar de su interior, añade una función pública llamada, qué talwithRoles() que tenga un argumento array $roles y devuelva self, lo que hará que esto sea más cómodo cuando lo utilicemos. Entoncesreturn $this->addState(['roles' => $roles]):

94 lines | src/Factory/UserFactory.php
// ... lines 1 - 30
final class UserFactory extends ModelFactory
{
// ... lines 33 - 54
public function withRoles(array $roles): self
{
return $this->addState(['roles' => $roles]);
}
// ... lines 59 - 92
}

Lo que pasemos a addState() se convierte en parte de los datos que se utilizarán para hacer este usuario.

Para utilizar el método de estado, el código cambia a UserFactory::new(). En lugar de crear un objeto User, esto instanciará un nuevo UserFactory... y entonces podremos llamar awithRoles() y pasarle ROLE_ADMIN:

Así, estamos "elaborando" el aspecto que queremos que tenga el usuario. Cuando hayamos terminado, llamamos acreate():

144 lines | tests/Functional/DragonTreasureResourceTest.php
// ... lines 1 - 12
class DragonTreasureResourceTest extends ApiTestCase
{
// ... lines 15 - 138
public function testAdminCanPatchToEditTreasure(): void
{
$admin = UserFactory::new()->withRoles(['ROLE_ADMIN'])->create();
}
}

createOne() es un método abreviado estático. Pero como tenemos una instancia de la fábrica, utiliza create().

Pero podemos ir aún más lejos. De vuelta en UserFactory, añade otro método de estado llamadoasAdmin() que devuelva self. Dentro devuelve $this->withRoles(['ROLE_ADMIN']):

99 lines | src/Factory/UserFactory.php
// ... lines 1 - 30
final class UserFactory extends ModelFactory
{
// ... lines 33 - 59
public function asAdmin(): self
{
return $this->withRoles(['ROLE_ADMIN']);
}
// ... lines 64 - 97
}

Gracias a eso, podemos simplificar a UserFactory::new()->asAdmin()->create():

144 lines | tests/Functional/DragonTreasureResourceTest.php
// ... lines 1 - 12
class DragonTreasureResourceTest extends ApiTestCase
{
// ... lines 15 - 138
public function testAdminCanPatchToEditTreasure(): void
{
$admin = UserFactory::new()->asAdmin()->create();
}
}

¡Bien!

Escribir la prueba

Ahora vamos a poner en marcha esta prueba. Crea un nuevo $treasure establecido enDragonTreasureFactory::createOne():

156 lines | tests/Functional/DragonTreasureResourceTest.php
// ... lines 1 - 12
class DragonTreasureResourceTest extends ApiTestCase
{
// ... lines 15 - 138
public function testAdminCanPatchToEditTreasure(): void
{
$admin = UserFactory::new()->asAdmin()->create();
$treasure = DragonTreasureFactory::createOne();
// ... lines 143 - 153
}
}

Como no estamos pasando un owner, esto creará un nuevo User en segundo plano y lo utilizará como owner. Esto significa que nuestro usuario administrador no será el propietario.

Ahora, $this->browser()->actingAs($adminUser) luego ->patch() a/api/treasures/, $treasure->getId(), enviando json para actualizar value al mismo 12345. ->assertStatus(200) y assertJsonMatches(), value, 12345:

156 lines | tests/Functional/DragonTreasureResourceTest.php
// ... lines 1 - 12
class DragonTreasureResourceTest extends ApiTestCase
{
// ... lines 15 - 138
public function testAdminCanPatchToEditTreasure(): void
{
$admin = UserFactory::new()->asAdmin()->create();
$treasure = DragonTreasureFactory::createOne();
$this->browser()
->actingAs($admin)
->patch('/api/treasures/'.$treasure->getId(), [
'json' => [
'value' => 12345,
],
])
->assertStatus(200)
->assertJsonMatches('value', 12345)
;
}
}

¡Genial! Copia el nombre del método. Vamos a probarlo:

symfony php bin/phpunit --filter=testAdminCanPatchToEditTreasure

Y... ¡vale! Aún no lo hemos implementado, así que falla.

Permitir a los administradores editar cualquier cosa

Entonces, ¿cómo permitimos que los administradores editen cualquier tesoro? Bueno, al principio es relativamente fácil porque tenemos el control total a través de la expresión security. Así que podemos añadir algo como if is_granted("ROLE_ADMIN") OR y luego poner paréntesis alrededor del otro caso de uso:

249 lines | src/Entity/DragonTreasure.php
// ... lines 1 - 27
#[ApiResource(
// ... lines 29 - 30
operations: [
// ... lines 32 - 40
new Patch(
security: 'is_granted("ROLE_ADMIN") or (is_granted("ROLE_TREASURE_EDIT") and object.getOwner() == user)',
// ... line 43
),
// ... lines 45 - 47
],
// ... lines 49 - 65
)]
// ... lines 67 - 87
class DragonTreasure
{
// ... lines 90 - 247
}

¡Asegurémonos de que funciona!

symfony php bin/phpunit --filter=testAdminCanPatchToEditTreasure

¡Un error 500! Veamos qué está pasando. Haz clic para abrir esto.

Token "nombre" inesperado alrededor de la posición 26.

Así que... eso ha sido un accidente. Cambia OR por or. Y... mueve también esta nueva lógica a securityPostDenormalize:

249 lines | src/Entity/DragonTreasure.php
// ... lines 1 - 27
#[ApiResource(
// ... lines 29 - 30
operations: [
// ... lines 32 - 40
new Patch(
security: 'is_granted("ROLE_ADMIN") or (is_granted("ROLE_TREASURE_EDIT") and object.getOwner() == user)',
securityPostDenormalize: 'is_granted("ROLE_ADMIN") or object.getOwner() == user',
),
// ... lines 45 - 47
],
// ... lines 49 - 65
)]
// ... lines 67 - 87
class DragonTreasure
{
// ... lines 90 - 247
}

Luego vuelve a intentar la prueba:

symfony php bin/phpunit --filter=testAdminCanPatchToEditTreasure

¡Lo tengo! Pero mi metedura de pata saca a relucir un gran punto: la expresión security se está volviendo demasiado compleja. Es tan legible como un script PERL de una sola línea... y no queremos cometer errores cuando se trata de seguridad.

Así que, a continuación, centralicemos esta lógica con un votante.