Chapters

37 Chapters | 3:43:31 |

01

¿Documentos API en producción?

8:22
02

¿Token API? ¿Cookies de sesión?

8:07
03

Formulario de inicio de sesión API con json_login

5:36
04

Manejo de errores de autenticación

3:47
05

En Autenticación correcta

6:03
06

Cerrar sesión y pasar datos de la API a JavaScript

5:45
07

Pasar valores a Stimulus

4:32
08

Tipos de token y la entidad ApiToken

5:59
09

Generar el token de la API y los accesorios

5:58
10

Autenticador de token de acceso

8:56
11

Personalizar los documentos de OpenAPI

7:31
12

Ámbitos de los tokens de la API

5:51
13

Denegar el acceso con la opción "seguridad

7:11
14

Poner en marcha un sistema de pruebas asesino

8:18
15

Aserciones de la prueba JSON y siembra de la base de datos

3:41
16

Aserciones de prueba JSON avanzadas y flexibles

4:04
17

Probar la autenticación

4:59
18

Personalizar el navegador globalmente

3:50
19

Probar la autenticación por token

3:24
20

Nuevo comportamiento PUT

4:46
21

Permitir editar sólo a los propietarios

7:49
22

Permitir que los usuarios administradores editen cualquier tesoro

4:11
23

Votante de seguridad

6:13
24

Campos condicionales por usuario: ApiProperty

5:13
25

Prueba de Usuario + Contraseña Simple

4:21
26

Procesadores de Estado: Hashing de la contraseña de usuario

6:55
27

Grupos de validación y formatos de parche

8:01
28

Grupos Dinámicos: Creador de Contextos

8:26
29

Normalizador personalizado

5:08
30

Decoración del normalizador y "Normalizer Aware" (consciente del normalizador)

6:29
31

Campos totalmente personalizados

3:24
32

Validador personalizado

7:58
33

Validar cómo cambian los valores

8:30
34

Configuración automática del "propietario

4:19
35

Extensión de consulta: Autofiltrar una colección

6:15
36

404 En Artículos No Publicados

8:00
37

Filtrar la colección de relaciones

5:39

> APIs > API Platform 3: Seguridad para tus tesoros

Buy Access to Course

11.

Personalizar los documentos de OpenAPI

Autoplay

Keep on Learning!

If you liked what you've learned so far, dive in! Subscribe to get
access to this tutorial plus video, code and script downloads.

Start your All-Access Pass

Buy just this tutorial for $12.00

Previous Challenge

Next Challenge

With a Subscription, click any sentence in the script to jump to that part of the video!

Para utilizar tokens de API en Swagger, tenemos que escribir la palabra "Bearer" (portador) y luego el token. ¡Lamentable! Sobre todo si pretendemos que lo utilicen usuarios reales. ¿Cómo podemos solucionarlo?

La especificación OpenAPI es la clave

Recuerda que Swagger se genera enteramente a partir del documento de especificaciones OpenAPI que construye API Platform. Puedes ver este documento consultando la fuente de la página -puedes verlo todo ahí mismo- o yendo a /api/docs.json. Hace unos minutos, hemos añadido una configuración a API Platform llamada Authorization:

            
Copy Code

Show All Lines

                        18 lines
            |
            config/packages/api_platform.yaml
        
            api_platform:
        
Show Lines

                                                    // ... lines 2 - 7
                            
                swagger:
        
                    api_keys:
        
                        access_token:
        
                            name: Authorization
        
                            type: header
        
Show Lines

                                                    // ... lines 13 - 18

El resultado final es que ha añadido estas secciones de seguridad aquí abajo. Sí, es así de sencillo: esta configuración activó estas nuevas secciones en este documento JSON: nada más. Swagger entonces lee eso y sabe que debe hacer que esta "Autorización" esté disponible.

Así que indagué un poco directamente en el sitio de OpenAPI y descubrí que sí tiene una forma de definir un esquema de autenticación en el que no necesitas pasar manualmente la parte del "Portador". Desgraciadamente, a menos que me lo esté perdiendo, la configuración de API Platform no permite añadirlo. Entonces, ¿hemos terminado? De ninguna manera, y por una razón increíble.

Crear nuestro OpenApiFactory

Para crear este documento JSON, internamente, API Platform crea un objeto OpenApi, rellena todos estos datos en él y luego lo envía a través del serializador de Symfony. Esto es importante porque podemos modificar el objeto OpenApi antes de que pase por el serializador. ¿Cómo? El objeto OpenApi se crea a través de un núcleoOpenApiFactory... y podemos decorarlo.

Compruébalo: en el directorio src/, crea un nuevo directorio llamadoApiPlatform/... y dentro, una nueva clase PHP llamada OpenApiFactoryDecorator. Haz que implemente OpenApiFactoryInterface. Luego ve a "Código"->"Generar" oCommand+N en un Mac para implementar el único método que necesitamos: __invoke():

            
Copy Code

Show All Lines

                        15 lines
            |
            src/ApiPlatform/OpenApiFactoryDecorator.php
        
Show Lines

                                                    // ... lines 1 - 2
                            
            namespace App\ApiPlatform;
        
            use ApiPlatform\OpenApi\Factory\OpenApiFactoryInterface;
        
            use ApiPlatform\OpenApi\OpenApi;
        
            class OpenApiFactoryDecorator implements OpenApiFactoryInterface
        
            {
        
                public function __invoke(array $context = []): OpenApi
        
                {
        
                    // TODO: Implement __invoke() method.
        
                }
        
            }

¡Hola Servicio Decoración!

Ahora mismo, existe un servicio central OpenApiFactory en la API Platform que crea el objeto OpenApi con todos estos datos. Éste es nuestro astuto plan: vamos a decirle a Symfony que utilice nuestra nueva clase como OpenApiFactoryen lugar de la del núcleo. Pero... definitivamente no queremos reimplementar toda la lógica del núcleo. Para evitarlo, también le diremos a Symfony que nos pase el núcleo original OpenApiFactory.

Puede que te resulte familiar lo que estamos haciendo. Es la decoración de clases: una estrategia orientada a objetos para extender clases. Es muy fácil de hacer en Symfony y API Platform lo aprovecha mucho.

Siempre que hagas decoración, crearás un constructor que acepte la interfaz que estás decorando. Así que OpenApiFactoryInterface. Lo llamaré$decorated. Y déjame poner private delante de eso:

            
Copy Code

Show All Lines

                        25 lines
            |
            src/ApiPlatform/OpenApiFactoryDecorator.php
        
Show Lines

                                                    // ... lines 1 - 4
                            
            use ApiPlatform\OpenApi\Factory\OpenApiFactoryInterface;
        
Show Lines

                                                    // ... lines 6 - 9
                            
            class OpenApiFactoryDecorator implements OpenApiFactoryInterface
        
            {
        
                public function __construct(private OpenApiFactoryInterface $decorated)
        
                {
        
                }
        
Show Lines

                                                    // ... lines 15 - 23
                            
            }

Perfecto.

Aquí abajo, para empezar, di $openApi = $this->decorated y luego llama al método __invoke()pasándole el mismo argumento: $context:

            
Copy Code

Show All Lines

                        25 lines
            |
            src/ApiPlatform/OpenApiFactoryDecorator.php
        
Show Lines

                                                    // ... lines 1 - 9
                            
            class OpenApiFactoryDecorator implements OpenApiFactoryInterface
        
            {
        
Show Lines

                                                    // ... lines 12 - 15
                            
                public function __invoke(array $context = []): OpenApi
        
                {
        
                    $openApi = $this->decorated->__invoke($context);
        
Show Lines

                                                    // ... lines 19 - 22
                            
                }
        
            }

Eso llamará a la fábrica del núcleo que hará todo el trabajo duro de crear el objeto OpenApi completo. Aquí abajo, devuelve eso:

            
Copy Code

Show All Lines

                        25 lines
            |
            src/ApiPlatform/OpenApiFactoryDecorator.php
        
Show Lines

                                                    // ... lines 1 - 9
                            
            class OpenApiFactoryDecorator implements OpenApiFactoryInterface
        
            {
        
Show Lines

                                                    // ... lines 12 - 15
                            
                public function __invoke(array $context = []): OpenApi
        
                {
        
                    $openApi = $this->decorated->__invoke($context);
        
Show Lines

                                                    // ... lines 19 - 21
                            
                    return $openApi;
        
                }
        
            }

¿Y entre medias? Sí, ¡ahí es donde podemos liarnos! Para asegurarnos de que esto funciona, por ahora, simplemente vuelca el objeto $openApi:

            
Copy Code

Show All Lines

                        25 lines
            |
            src/ApiPlatform/OpenApiFactoryDecorator.php
        
Show Lines

                                                    // ... lines 1 - 9
                            
            class OpenApiFactoryDecorator implements OpenApiFactoryInterface
        
            {
        
Show Lines

                                                    // ... lines 12 - 15
                            
                public function __invoke(array $context = []): OpenApi
        
                {
        
                    $openApi = $this->decorated->__invoke($context);
        
                    dump($openApi);
        
                    return $openApi;
        
                }
        
            }

El atributo #[AsDecorator]

En este momento, desde un punto de vista orientado a objetos, esta clase está configurada correctamente para la decoración. Pero el contenedor de Symfony sigue configurado para utilizar elOpenApiFactory normal: no va a utilizar nuestro nuevo servicio en absoluto. De alguna manera tenemos que decirle al contenedor que, en primer lugar, el servicio principal OpenApiFactory debe ser sustituido por nuestro servicio, y en segundo lugar, que el servicio principal original debe pasarse a nosotros.

¿Cómo podemos hacerlo? Encima de la clase, añade un atributo llamado #[AsDecorator] y pulsa tabulador para añadir esa declaración use. Pásale el id de servicio del núcleo originalOpenApiFactory. Puedes indagar un poco para encontrarlo o normalmente la documentación te lo dirá. En realidad, API Platform documenta la decoración de este servicio, así que en sus documentos encontrarás que el identificador del servicio es api_platform.openapi.factory:

            
Copy Code

Show All Lines

                        25 lines
            |
            src/ApiPlatform/OpenApiFactoryDecorator.php
        
Show Lines

                                                    // ... lines 1 - 6
                            
            use Symfony\Component\DependencyInjection\Attribute\AsDecorator;
        
            #[AsDecorator('api_platform.openapi.factory')]
        
            class OpenApiFactoryDecorator implements OpenApiFactoryInterface
        
            {
        
Show Lines

                                                    // ... lines 12 - 23
                            
            }

¡Eso es! Gracias a esto, cualquiera que antes utilizara el servicio principal deapi_platform.openapi.factory recibirá en su lugar nuestro servicio, pero nos pasará el original.

Así que... ¡debería funcionar! Para probarlo, dirígete a la página principal de la API y actualízala. ¡Sí! Cuando esta página se carga, renderiza el documento JSON de OpenAPI en segundo plano. ¡El volcado en la barra de herramientas de depuración web demuestra que ha dado con nuestro código! Y fíjate en ese precioso objeto OpenApi: lo tiene todo, incluido security, que coincide con lo que vimos en el JSON. Así que ahora, ¡podemos retocarlo!

Personalizar la configuración OpenAPI

El código que voy a poner aquí es un poco específico del objeto OpenApi y de la configuración exacta que sé que necesitamos en el JSON final de la Open API:

            
Copy Code

Show All Lines

                        30 lines
            |
            src/ApiPlatform/OpenApiFactoryDecorator.php
        
Show Lines

                                                    // ... lines 1 - 9
                            
            #[AsDecorator('api_platform.openapi.factory')]
        
            class OpenApiFactoryDecorator implements OpenApiFactoryInterface
        
            {
        
Show Lines

                                                    // ... lines 13 - 16
                            
                public function __invoke(array $context = []): OpenApi
        
                {
        
                    $openApi = $this->decorated->__invoke($context);
        
                    $securitySchemes = $openApi->getComponents()->getSecuritySchemes() ?: new \ArrayObject();
        
Show Lines

                                                    // ... lines 22 - 26
                            
                    return $openApi;
        
                }
        
            }

Obtenemos el objeto $securitySchemes, y luego anulamos access_token. Esto coincide con el nombre que utilizamos en la configuración. Establece un nuevo objeto SecurityScheme() con dos argumentos con nombre: type: 'http' y scheme: 'bearer':

            
Copy Code

Show All Lines

                        30 lines
            |
            src/ApiPlatform/OpenApiFactoryDecorator.php
        
Show Lines

                                                    // ... lines 1 - 5
                            
            use ApiPlatform\OpenApi\Model\SecurityScheme;
        
Show Lines

                                                    // ... lines 7 - 9
                            
            #[AsDecorator('api_platform.openapi.factory')]
        
            class OpenApiFactoryDecorator implements OpenApiFactoryInterface
        
            {
        
Show Lines

                                                    // ... lines 13 - 16
                            
                public function __invoke(array $context = []): OpenApi
        
                {
        
                    $openApi = $this->decorated->__invoke($context);
        
                    $securitySchemes = $openApi->getComponents()->getSecuritySchemes() ?: new \ArrayObject();
        
                    $securitySchemes['access_token'] = new SecurityScheme(
        
                        type: 'http',
        
                        scheme: 'bearer',
        
                    );
        
                    return $openApi;
        
                }
        
            }

¡Ya está! Primero actualiza el documento JSON sin procesar para que podamos ver qué aspecto tiene. Déjame buscar "Portador". ¡Ya está! ¡Hemos modificado el aspecto del JSON!

¿Qué opina Swagger de esta nueva configuración? Actualiza y pulsa "Autorizar". Genial: access_token, http, Bearer. Ve a robar un token de API... pégalo sin decir Bearer primero y dale a "Autorizar". Probemos la misma ruta. Uy, tengo que darle a "Probar". Y... ¡precioso! Mira esa cabecera Authorization! Nos ha pasado Bearer. Misión cumplida.

Por cierto, podrías pensar, dado que estamos anulando por completo la configuración deaccess_token, que podríamos simplemente eliminarla de api_platform.yaml. Por desgracia, por razones sutiles que tienen que ver con cómo se genera la documentación de seguridad, seguimos necesitándola. Pero diré# overridden in OpenApiFactoryDecorator:

            
Copy Code

Show All Lines

                        19 lines
            |
            config/packages/api_platform.yaml
        
            api_platform:
        
Show Lines

                                                    // ... lines 2 - 7
                            
                swagger:
        
                    api_keys:
        
                        # overridden in OpenApiFactoryDecorator
        
                        access_token:
        
Show Lines

                                                    // ... lines 12 - 19

Esto era sólo un ejemplo de cómo podrías ampliar tu documento de especificaciones de la API Abierta. Pero si alguna vez necesitas modificar algo más, ahora ya sabes cómo.

A continuación, hablemos de los ámbitos.

5 Comments

Sort By

Oleh-K 9 months ago

Maybe something has been changed in API Platform with updates, since this video was recorded. I've tried, and securitySchemes hasn't been overridden.

        $securitySchemes = $openApi->getComponents()->getSecuritySchemes() ?: new \ArrayObject();
        $securitySchemes['access_token'] = new SecurityScheme(
            type: 'http',
            scheme: 'bearer',
        );

After some workaround I've stopped on this solution:

    public function __invoke(array $context = []): OpenApi
    {
        $decorated = $this->factory->__invoke($context);

        $components = $decorated->getComponents()->withSecuritySchemes(
            new ArrayObject(
                [
                    'JWT' => new SecurityScheme(
                        type:         'http',
                        description:  'Value for the JWT Authorization header parameter.',
                        scheme:       'bearer',
                        bearerFormat: 'JWT'
                    )
                ]
            )
        );

        return $decorated->withComponents($components);
    }

| Reply |

weaverryan SFCASTS Oleh-K 9 months ago

Hey @Oleh-K!

Sorry for the slow reply! Hmm. I wonder: did you add the access_token config to api_platform.yaml? I actually think your solution is superior. My guess (I could be wrong) is that you don't have this config. And so, this line:

$securitySchemes = $openApi->getComponents()->getSecuritySchemes() ?: new \ArrayObject();

is using the new \ArrayObject part. But in my code, because I have the config, the $openApi->getComponents()->getSecuritySchemes() is returning an ArrayObject. The difference is that, in my case, I'm them "mutating" this existing object. But in your case, your "mutation" the new \ArrayObject(), which is then never actually set into the OpenApi object. Basically, my code was short-sighted and would ONLY work in the case where $openApi->getComponents()->getSecuritySchemes() DOES return an ArrayObject.

Am I correct? Does $openApi->getComponents()->getSecuritySchemes() return an ArrayObject or is it null? Anyway, your solution is superior, I believe, as it will work in call cases.

Cheers!

| Reply |

Joris-Mak weaverryan 3 days ago edited

I've noticed that modifying the existing objects in place doesn't seem to alter the openApi object returned. The 'withXxxx' methods seem to suggest they are immutable as well (otherwise there would be getters and setters, you often see 'withers' if the original object is inmutable).

For other openApi-doc-tweaks I've had to use the 'with' calls to change the openApi object returend, and I ran into the same here. I really had the exact same lines in api_platform.yaml, and the Swagger docs were showing the previous 'auth' method where you had to paste in 'Bearer' yourself.

If I look at $openApi->getSecurity() instead of getComponents()->getSecuritySchemes(), I DO see the 'access_token' keyname in there, but it contains an empty array.

After doing it the way in this tutorial, the word 'bearer' just does not occur in the openapi json file... at all. Which can't be right :).

I've went with something similar as @Oleh-K above, but more of a nod to the tutorial code:

        $openApi = $this->decorated->__invoke($context);

        $components = $openApi->getComponents();
        $schemes = $components->getSecuritySchemes();
        if ($schemes === null) {
            throw new \Exception('No security schemes found in OpenAPI spec');
        }
        
        $schemes['access_token'] = new SecurityScheme(
            type: 'http',
            scheme: 'bearer',
        );

        return $openApi->withComponents($components->withSecuritySchemes($schemes));

| Reply |

iclaborda weaverryan 5 months ago edited

Hello @weaverryan , I had a similar issue, but in my case, the code is failing at:

$openApi = $this->decorated->__invoke($context);

Cannot access offset string on string. the code is just like yours. what could be the cause?

| Reply |

weaverryan SFCASTS iclaborda 5 months ago

Hey @iclaborda!

Sorry for the super slow reply - busy season in the Symfony world :).

Hmm. That specific line looks fine and I can't see how you're accessing an array offset on that line specifically. Perhaps the stacktrace showed you a bit more info - like the error was happening deeper somewhere? If you're still on this issue and have a stracktrace, let me know :).

Cheers!

| Reply |

API Platform 3 Symfony 6.2

What PHP libraries does this tutorial use?

// composer.json
{
    "require": {
        "php": ">=8.1",
        "ext-ctype": "*",
        "ext-iconv": "*",
        "api-platform/core": "^3.0", // v3.1.2
        "doctrine/annotations": "^2.0", // 2.0.1
        "doctrine/doctrine-bundle": "^2.8", // 2.8.3
        "doctrine/doctrine-migrations-bundle": "^3.2", // 3.2.2
        "doctrine/orm": "^2.14", // 2.14.1
        "nelmio/cors-bundle": "^2.2", // 2.2.0
        "nesbot/carbon": "^2.64", // 2.66.0
        "phpdocumentor/reflection-docblock": "^5.3", // 5.3.0
        "phpstan/phpdoc-parser": "^1.15", // 1.16.1
        "symfony/asset": "6.2.*", // v6.2.5
        "symfony/console": "6.2.*", // v6.2.5
        "symfony/dotenv": "6.2.*", // v6.2.5
        "symfony/expression-language": "6.2.*", // v6.2.5
        "symfony/flex": "^2", // v2.2.4
        "symfony/framework-bundle": "6.2.*", // v6.2.5
        "symfony/property-access": "6.2.*", // v6.2.5
        "symfony/property-info": "6.2.*", // v6.2.5
        "symfony/runtime": "6.2.*", // v6.2.5
        "symfony/security-bundle": "6.2.*", // v6.2.6
        "symfony/serializer": "6.2.*", // v6.2.5
        "symfony/twig-bundle": "6.2.*", // v6.2.5
        "symfony/ux-react": "^2.6", // v2.7.1
        "symfony/ux-vue": "^2.7", // v2.7.1
        "symfony/validator": "6.2.*", // v6.2.5
        "symfony/webpack-encore-bundle": "^1.16", // v1.16.1
        "symfony/yaml": "6.2.*" // v6.2.5
    },
    "require-dev": {
        "doctrine/doctrine-fixtures-bundle": "^3.4", // 3.4.2
        "mtdowling/jmespath.php": "^2.6", // 2.6.1
        "phpunit/phpunit": "^9.5", // 9.6.3
        "symfony/browser-kit": "6.2.*", // v6.2.5
        "symfony/css-selector": "6.2.*", // v6.2.5
        "symfony/debug-bundle": "6.2.*", // v6.2.5
        "symfony/maker-bundle": "^1.48", // v1.48.0
        "symfony/monolog-bundle": "^3.0", // v3.8.0
        "symfony/phpunit-bridge": "^6.2", // v6.2.5
        "symfony/stopwatch": "6.2.*", // v6.2.5
        "symfony/web-profiler-bundle": "6.2.*", // v6.2.5
        "zenstruck/browser": "^1.2", // v1.2.0
        "zenstruck/foundry": "^1.26" // v1.28.0
    }
}

Previous Challenge

Next Challenge

Personalizar los documentos de OpenAPI

Share this awesome video!

Keep on Learning!

La especificación OpenAPI es la clave

Crear nuestro OpenApiFactory

¡Hola Servicio Decoración!

El atributo #[AsDecorator]

Personalizar la configuración OpenAPI

5 Comments

Delete comment?

What PHP libraries does this tutorial use?

	api_platform:
Show Lines	// ... lines 2 - 7
	swagger:
	api_keys:
	access_token:
	name: Authorization
	type: header
Show Lines	// ... lines 13 - 18

Show Lines	// ... lines 1 - 2
	namespace App\ApiPlatform;

	use ApiPlatform\OpenApi\Factory\OpenApiFactoryInterface;
	use ApiPlatform\OpenApi\OpenApi;

	class OpenApiFactoryDecorator implements OpenApiFactoryInterface
	{
	public function __invoke(array $context = []): OpenApi
	{
	// TODO: Implement __invoke() method.
	}
	}

Show Lines	// ... lines 1 - 4
	use ApiPlatform\OpenApi\Factory\OpenApiFactoryInterface;
Show Lines	// ... lines 6 - 9
	class OpenApiFactoryDecorator implements OpenApiFactoryInterface
	{
	public function __construct(private OpenApiFactoryInterface $decorated)
	{
	}
Show Lines	// ... lines 15 - 23
	}

Show Lines	// ... lines 1 - 9
	class OpenApiFactoryDecorator implements OpenApiFactoryInterface
	{
Show Lines	// ... lines 12 - 15
	public function __invoke(array $context = []): OpenApi
	{
	$openApi = $this->decorated->__invoke($context);
Show Lines	// ... lines 19 - 22
	}
	}

Show Lines	// ... lines 1 - 6
	use Symfony\Component\DependencyInjection\Attribute\AsDecorator;

	#[AsDecorator('api_platform.openapi.factory')]
	class OpenApiFactoryDecorator implements OpenApiFactoryInterface
	{
Show Lines	// ... lines 12 - 23
	}

Show Lines	// ... lines 1 - 5
	use ApiPlatform\OpenApi\Model\SecurityScheme;
Show Lines	// ... lines 7 - 9
	#[AsDecorator('api_platform.openapi.factory')]
	class OpenApiFactoryDecorator implements OpenApiFactoryInterface
	{
Show Lines	// ... lines 13 - 16
	public function __invoke(array $context = []): OpenApi
	{
	$openApi = $this->decorated->__invoke($context);

	$securitySchemes = $openApi->getComponents()->getSecuritySchemes() ?: new \ArrayObject();
	$securitySchemes['access_token'] = new SecurityScheme(
	type: 'http',
	scheme: 'bearer',
	);

	return $openApi;
	}
	}