Chapters

37 Chapters | 3:43:31 |

01

¿Documentos API en producción?

8:22
02

¿Token API? ¿Cookies de sesión?

8:07
03

Formulario de inicio de sesión API con json_login

5:36
04

Manejo de errores de autenticación

3:47
05

En Autenticación correcta

6:03
06

Cerrar sesión y pasar datos de la API a JavaScript

5:45
07

Pasar valores a Stimulus

4:32
08

Tipos de token y la entidad ApiToken

5:59
09

Generar el token de la API y los accesorios

5:58
10

Autenticador de token de acceso

8:56
11

Personalizar los documentos de OpenAPI

7:31
12

Ámbitos de los tokens de la API

5:51
13

Denegar el acceso con la opción "seguridad

7:11
14

Poner en marcha un sistema de pruebas asesino

8:18
15

Aserciones de la prueba JSON y siembra de la base de datos

3:41
16

Aserciones de prueba JSON avanzadas y flexibles

4:04
17

Probar la autenticación

4:59
18

Personalizar el navegador globalmente

3:50
19

Probar la autenticación por token

3:24
20

Nuevo comportamiento PUT

4:46
21

Permitir editar sólo a los propietarios

7:49
22

Permitir que los usuarios administradores editen cualquier tesoro

4:11
23

Votante de seguridad

6:13
24

Campos condicionales por usuario: ApiProperty

5:13
25

Prueba de Usuario + Contraseña Simple

4:21
26

Procesadores de Estado: Hashing de la contraseña de usuario

6:55
27

Grupos de validación y formatos de parche

8:01
28

Grupos Dinámicos: Creador de Contextos

8:26
29

Normalizador personalizado

5:08
30

Decoración del normalizador y "Normalizer Aware" (consciente del normalizador)

6:29
31

Campos totalmente personalizados

3:24
32

Validador personalizado

7:58
33

Validar cómo cambian los valores

8:30
34

Configuración automática del "propietario

4:19
35

Extensión de consulta: Autofiltrar una colección

6:15
36

404 En Artículos No Publicados

8:00
37

Filtrar la colección de relaciones

5:39

> APIs > API Platform 3: Seguridad para tus tesoros

Buy Access to Course

01.

¿Documentos API en producción?

Autoplay

Bienvenidos de nuevo, maravillosos devotos de JSON, al episodio 2 de API Platform. En la parte 1, ¡nos pusimos manos a la obra! Creamos una API bastante asesina para almacenar tesoros de dragón, pero... ¡nos olvidamos por completo de añadir seguridad! Cualquier criatura pequeña y de pies peludos podría colarse por una puerta trasera... ¡y no tendríamos ni idea! Así que esta vez hablaremos de todo lo relacionado con la seguridad. Como la autenticación: ¿debo utilizar una sesión con un formulario de inicio de sesión... o necesito tokens de API? Y autorización, como denegar el acceso a rutas completas. Luego entraremos en cosas más complicadas, como mostrar u ocultar resultados en función del usuario e incluso mostrar u ocultar determinados campos en función del usuario. También hablaremos de campos totalmente personalizados, del método HTTP PATCH y de la creación de un sistema de pruebas de la API que tus amigos estarán celosos.

Configuración del proyecto

Ya sabes lo que hay que hacer: para profundizar realmente en este tema, debes codificar conmigo. Descarga el código del curso de esta página. Después de descomprimirlo, encontrarás un directorio start/ con el mismo código que ves aquí. Abre este ingenioso archivo README.md y sigue todas las instrucciones de configuración.

Aquí abajo estoy iniciando el servidor web symfony. Así que iré a un terminal que ya esté dentro del proyecto y ejecutaré

symfony serve -d

para iniciar un servidor web local en segundo plano. Perfecto Mantendré pulsado Cmd y haré clic en esa URL para abrirla en mi navegador. ¡Hola Treasure Connect! Esta es la app que creamos en el episodio 1... aunque trabajamos exclusivamente en la API. Creamos rutas para tesoros, usuarios y la posibilidad de relacionarlos.

Esta página de inicio es totalmente nueva para el episodio 2. Es una pequeña aplicación Vue que construí. Tiene un formulario de inicio de sesión... pero aún no funciona: dependerá de nosotros darle vida.

¿Documentos interactivos en producción?

Ahora, antes de sumergirnos en la seguridad, una pregunta que me hacen a veces es:

Oye Ryan, los documentos interactivos son superguays... pero ¿podría ocultarlos en producción?

Si tu API es privada -sólo está pensada para tu JavaScript-, podría tener sentido porque no quieres dar a conocer tus rutas al mundo. Sin embargo, no me siento demasiado obligado a ocultar los documentos... porque aunque lo hagas, las rutas siguen existiendo. Así que necesitarás una seguridad adecuada de todos modos.

Pero sí, ocultarlos es posible, así que veamos cómo. Aunque muestres tus docs, éste es un proceso interesante que muestra cómo funcionan juntas varias partes del sistema.

Busca tu terminal y ejecuta:

php ./bin/console config:dump api_platform

Recuerda: este comando muestra toda la configuración posible para API Platform. Veamos... busca "swagger". Ya está. Hay una sección con cosas comoenable_swagger, enable_swagger_ui, enable_re_doc, enable_entrypoint, yenable_docs. ¿Qué significa todo eso?

Hola ReDoc

Primero quiero enseñarte qué es ReDoc, porque no hablamos de ello en el primer tutorial. Actualmente estamos viendo la versión Swagger de nuestra documentación. Pero existe un formato competidor llamado ReDoc... ¡y puedes hacer clic en el enlace "ReDoc" de la parte inferior para verlo! ¡Sí! Es la misma información de la documentación... ¡pero con un diseño diferente! Si te gusta esto, está ahí para ti.

Desactivar los Docs

De todas formas, volviendo al terminal, hay un montón de configuraciones de "habilitación". Todas están relacionadas... pero son ligeramente diferentes. Por ejemplo, enable_swagger se refiere en realidad a la documentación de OpenAPI. Recuerda que es el documento JSON que alimenta los documentos de las API Swagger y ReDoc. Entonces, estos son si queremos mostrar o no esos dos tipos de documentación frontales. Y aquí abajo, enable_entrypoint y enable_docscontrolan si ciertas rutas se añaden o no a nuestra aplicación.

Apuesto a que no ha tenido mucho sentido, así que vamos a jugar con esto. Imagina que queremos desactivar la documentación por completo. De acuerdo Abre config/packages/api_platform.yamly, para empezar, añade enable_docs: false:

            
Copy Code

Show All Lines

                        9 lines
            |
            config/packages/api_platform.yaml
        
            api_platform:
        
Show Lines

                                                    // ... lines 2 - 7
                            
                enable_docs: false

En cuanto lo hagas y actualices... ¡bien! La documentación de nuestra API ha desaparecido... pero con un error 500. Cuando enable_docs: false, elimina literalmente la ruta a nuestra documentación.

Retrocedamos. Ir a /api siempre fue una especie de atajo para llegar a la documentación. La ruta real era /api/docs, /api/docs.json o .jsonld. Y ahora todas son 404 porque hemos desactivado esa ruta. Así que, ¡viva nuestra documentación!

Sin embargo, cuando vas a /api, en realidad no es una página de documentación. Es lo que se conoce como "punto de entrada": es nuestra página de inicio de la API. Esta página sigue existiendo... pero intenta enlazar con nuestra documentación de la API... que no existe, y explota.

Para desactivar el punto de entrada, muévete y añade enable_entrypoint: false:

            
Copy Code

Show All Lines

                        10 lines
            |
            config/packages/api_platform.yaml
        
            api_platform:
        
Show Lines

                                                    // ... lines 2 - 8
                            
                enable_entrypoint: false

Ahora yendo a /api nos da... ¡hermoso! A 404.

Vale, ya sabemos que podemos ir a /api/treasures.json o a .jsonld. Pero, ¿y si vamos a /api/treasures? Eso... ¡desgraciadamente es un error 500! Cuando nuestro navegador hace una petición, envía una cabecera Accept que dice que queremos HTML. Así que estamos pidiendo a nuestra API la versión html de los tesoros. Y la versión htmles... la documentación. Así que intenta enlazar con la documentación y explota.

Para desactivar esto, podemos comunicar al sistema que no tenemos Swagger ni documentación de la API en absoluto... para que deje de intentar enlazar con ella. Hazlo configurandoenable_swagger: false:

            
Copy Code

Show All Lines

                        11 lines
            |
            config/packages/api_platform.yaml
        
            api_platform:
        
Show Lines

                                                    // ... lines 2 - 9
                            
                enable_swagger: false

Aunque... eso sólo da lugar a otro error 500 que dice:

¡Eh, no puedes activar Swagger UI sin activar Swagger!

Arregla eso con enable_swagger_ui: false:

            
Copy Code

Show All Lines

                        12 lines
            |
            config/packages/api_platform.yaml
        
            api_platform:
        
Show Lines

                                                    // ... lines 2 - 10
                            
                enable_swagger_ui: false

Y ahora... ¡más cerca!

Deshabilitar el formato HTML

No se admite la serialización para el formato html.

El problema es que seguimos solicitando la versión html de este recurso. Pero ahora que no tenemos documentación, nuestra API es como:

Um... no estoy muy seguro de cómo devolver una versión HTML de esto.

Y la verdad es: si desactivamos totalmente nuestra documentación, ¡ya no necesitamos un formato HTML! Y, por tanto, podemos desactivarlo. Hazlo, muy sencillamente, eliminando html deformats:

            
Copy Code

Show All Lines

                        11 lines
            |
            config/packages/api_platform.yaml
        
            api_platform:
        
                formats:
        
                    jsonld: [ 'application/ld+json' ]
        
                    json: [ 'application/json' ]
        
                    jsonhal: [ 'application/hal+json' ]
        
Show Lines

                                                    // ... lines 7 - 10

Y... en realidad tenemos otro punto donde necesitamos hacerlo: ensrc/Entity/DragonTreasure.php. Cuando añadimos nuestro formato personalizado csv... veámoslo aquí... repetimos todos los formatos, incluido html. Así que quita también html de ahí:

            
Copy Code

Show All Lines

                        234 lines
            |
            src/Entity/DragonTreasure.php
        
Show Lines

                                                    // ... lines 1 - 26
                            
            #[ApiResource(
        
Show Lines

                                                    // ... lines 28 - 40
                            
                formats: [
        
                    'jsonld',
        
                    'json',
        
                    'jsonhal',
        
                    'csv' => 'text/csv',
        
                ],
        
Show Lines

                                                    // ... lines 47 - 53
                            
            )]
        
Show Lines

                                                    // ... lines 55 - 72
                            
            class DragonTreasure
        
            {
        
Show Lines

                                                    // ... lines 75 - 232
                            
            }

Cuando actualicemos ahora... ¡ya está! Como no hay formato HTML, se pone por defecto JSON-LD. Nuestros documentos están ahora totalmente desactivados.

Ah, y para desactivar los documentos sólo para producción, crearía una variable de entorno -como ENABLE_API_DOCS - y luego haría referencia a ella en mi configuración:

# config/packages/api_platform.yaml
api_platform:
    enable_swagger_ui: '%env(bool:ENABLE_API_DOCS)%'

Pero... Me gusta la documentación, así que voy a deshacer este cambio... y este cambio también para recuperar nuestros documentos.

            
Copy Code

                        12 lines
            |
            config/packages/api_platform.yaml
        
            api_platform:
        
                formats:
        
                    jsonld: [ 'application/ld+json' ]
        
                    json: [ 'application/json' ]
        
                    html: [ 'text/html' ]
        
                    jsonhal: [ 'application/hal+json' ]
        
            #    enable_docs: false
        
            #    enable_entrypoint: false
        
            #    enable_swagger: false
        
            #    enable_swagger_ui: false

            
Copy Code

Show All Lines

                        235 lines
            |
            src/Entity/DragonTreasure.php
        
Show Lines

                                                    // ... lines 1 - 26
                            
            #[ApiResource(
        
Show Lines

                                                    // ... lines 28 - 40
                            
                formats: [
        
                    'jsonld',
        
                    'json',
        
                    'html',
        
                    'jsonhal',
        
                    'csv' => 'text/csv',
        
                ],
        
Show Lines

                                                    // ... lines 48 - 54
                            
            )]
        
Show Lines

                                                    // ... lines 56 - 73
                            
            class DragonTreasure
        
            {
        
Show Lines

                                                    // ... lines 76 - 233
                            
            }

¡Me encanta!

A continuación, vamos a tener una charla informal sobre la autenticación. Tienes una API elegante: ¿necesitas tokens de API? ¿O algo más?

18 Comments

Sort By

Oleh-K 10 months ago edited HIGHLIGHTED

About environment varibale to disable docs (at 7:56).
As far as i know it is not possible for now, as api_platform config loaded during a compile time. So it is has not picked up ENV variables, and next configuration does not work:

api_platform:
   enable_swagger: '%env(bool:ENABLE_API_DOCS)%'
   # .... and other disablings

My current sollution, is:

when@prod:
  api_platform:
    enable_swagger: false
    # .... and other disablings

So if you know the solution how to do that with Environment varibales. Please share.

1 | Reply |

weaverryan SFCASTS Oleh-K 10 months ago

Hey @Oleh-K!

Ah, you're right! I was assuming too much! The APIPlatform Symfony integration references those variables at compile time (like you said). That would need to be fixed inside API Platform, but actually, I think it's not reasonably fixable. By setting, for example, enable_swagger to false, a set of services is removed from the container (which is good - no reason to have those extra service around if they're not used). It would be a decent bit of work to allow this config to use environment variables, and the end result is that people who do want to disable them would still have these extra services "available" in the container, even though they're not used. Not a huge deal, but also probably a good reason not to "fix it".

Anyway, I appreciate you pointing this out! I'll add a note to the course.

Cheers!

1 | Reply |

Oleh-K weaverryan 10 months ago

Anyway, thank you very much! I've found many helpful things in your course.

| Reply |

ToNy 1 month ago

Is there a way to show an endpoint only to a specific role?

| Reply |

MolloKhan SFCASTS ToNy 1 month ago edited

Hey @ToNy

Yes, you can check for the user's role inside your controller's method, or you can use the #[IsGranted()] attribute. Reference to the docs: https://symfony.com/doc/current/security.html#security-securing-controller-attributes

Cheers!

1 | Reply |

ToNy MolloKhan 1 month ago

Thanks for your reply! I'm affraid that Iphrased my question poorly, so I'll start again. I'm protecting the /api route using access_control in security.yaml, so only authenticated users can access the docs. I want to know if, instead of showing all the endpoints in the docs (swagger or redoc), show only the ones that the user has access to, based on the user roles and the security of the entity declared in the ApiResource annotation.

| Reply |

weaverryan SFCASTS ToNy 1 month ago

Hey @ToNy!

I think I understand and it seems reasonable. But it can be tricky to pull off. We talk about something kind of similar in an API Platform 2 tutorial - https://symfonycasts.com/screencast/api-platform2-security/resource-metadata-factory

There, we are trying to add some extra serialization groups in a way that our API docs will notice. You may be able to extend this to dynamically add groups based on the currently-authenticated user.

Another option might be to decorate and customize the OpenApiFactory - perhaps removing resources based on the current user- https://symfonycasts.com/screencast/api-platform-security/open-api-decoration

Let me know if any of these are successful.

Cheers!

| Reply |

Jamezs 6 months ago edited

Apart from the fact that I need to undo the changes made at the end. Did you notice that the frontend doesn't work with the documentation disabled?

An exception has been thrown during the rendering of a template ("Unable to generate a URL for the named route "api_entrypoint" as such route does not exist.").

| Reply |

weaverryan SFCASTS Jamezs 6 months ago

Hey @Jamezs!

I believe you're referring to the homepage of the app, right? If so, yea, that's expected - but that's just due to how I built the app :). That custom homepage I built references the api_entrypoint route so that it can link to the API homepage. So in a real app, if you disabled the docs, as long as you didn't try to link to this route, you'd be good ;).

Cheers!

| Reply |

Fran 11 months ago

Hello!
I have a question about how you did the initial login, since it appears created directly in the video, are you creating it through make:controller login? If not, could I create it this way?

| Reply |

weaverryan SFCASTS Fran 11 months ago

Hey @Fran!

At the start of this tutorial, the frontend and login stuff is pretty simple. It's a MainController::homepage() that renders main/homepage.html.twig (and that controller is dead-simple). The template itself is pretty much empty except that it renders a Vue app, which renders the login form. All of that was created by hand. The controller and template and very simple and small (you could definitely use make:controller to get this), but I created the Vue app by hand.

In a normal Symfony app, I would probably build my login form directly in PHP & Twig. For that, I'd use make:auth and choose the "login form" option. That will generate you the controller & template for the login form + a few other things.

Does that help? Let me know!

Cheers!

| Reply |

Klaus-M 11 months ago

Short question, the editor in use is Phpstrorm? Is this a special skin?

| Reply |

MolloKhan SFCASTS Klaus-M 11 months ago edited

Hey @Klaus-M

Yes, it is PhpStorm, and I believe Ryan uses the "Atom Material Icons" plugin to enhance his editor's theme

Cheers!

| Reply |

Klaus-M MolloKhan 11 months ago

Yes, that's it. Thank you very much.

Cheers!

| Reply |

pasquale_pellicani 1 year ago

I also ask the same question here, part 2 ok and what would part 1 be ? Thank you

| Reply |

Victor SFCASTS pasquale_pellicani 1 year ago edited

Hey @pasquale_pellicani ,

I'm not sure I understand the question :)

I also ask the same question here

What who else is asking here and what exactly? I see only your comment on this page :)

But in case you're looking for part 1, here it is: https://symfonycasts.com/screencast/api-platform .

Cheers!

| Reply |

pasquale_pellicani Victor 1 year ago

Thank you very much, it would be ideal to change the title of the courses with part 1 and part 2 because I had difficulty understanding the order of the two courses. I take the opportunity to thank you for the excellent work done ;)

| Reply |

Victor SFCASTS pasquale_pellicani 1 year ago edited

Hey @pasquale_pellicani ,

I see, yeah, it might not be clear enough. I'd try to add cross-link to this course. Also, you can always can look at the track to find the related courses and the correct order: https://symfonycasts.com/tracks/rest#api-platform-3

I hope this helps!

Cheers!

| Reply |

API Platform 3 Symfony 6.2

What PHP libraries does this tutorial use?

// composer.json
{
    "require": {
        "php": ">=8.1",
        "ext-ctype": "*",
        "ext-iconv": "*",
        "api-platform/core": "^3.0", // v3.1.2
        "doctrine/annotations": "^2.0", // 2.0.1
        "doctrine/doctrine-bundle": "^2.8", // 2.8.3
        "doctrine/doctrine-migrations-bundle": "^3.2", // 3.2.2
        "doctrine/orm": "^2.14", // 2.14.1
        "nelmio/cors-bundle": "^2.2", // 2.2.0
        "nesbot/carbon": "^2.64", // 2.66.0
        "phpdocumentor/reflection-docblock": "^5.3", // 5.3.0
        "phpstan/phpdoc-parser": "^1.15", // 1.16.1
        "symfony/asset": "6.2.*", // v6.2.5
        "symfony/console": "6.2.*", // v6.2.5
        "symfony/dotenv": "6.2.*", // v6.2.5
        "symfony/expression-language": "6.2.*", // v6.2.5
        "symfony/flex": "^2", // v2.2.4
        "symfony/framework-bundle": "6.2.*", // v6.2.5
        "symfony/property-access": "6.2.*", // v6.2.5
        "symfony/property-info": "6.2.*", // v6.2.5
        "symfony/runtime": "6.2.*", // v6.2.5
        "symfony/security-bundle": "6.2.*", // v6.2.6
        "symfony/serializer": "6.2.*", // v6.2.5
        "symfony/twig-bundle": "6.2.*", // v6.2.5
        "symfony/ux-react": "^2.6", // v2.7.1
        "symfony/ux-vue": "^2.7", // v2.7.1
        "symfony/validator": "6.2.*", // v6.2.5
        "symfony/webpack-encore-bundle": "^1.16", // v1.16.1
        "symfony/yaml": "6.2.*" // v6.2.5
    },
    "require-dev": {
        "doctrine/doctrine-fixtures-bundle": "^3.4", // 3.4.2
        "mtdowling/jmespath.php": "^2.6", // 2.6.1
        "phpunit/phpunit": "^9.5", // 9.6.3
        "symfony/browser-kit": "6.2.*", // v6.2.5
        "symfony/css-selector": "6.2.*", // v6.2.5
        "symfony/debug-bundle": "6.2.*", // v6.2.5
        "symfony/maker-bundle": "^1.48", // v1.48.0
        "symfony/monolog-bundle": "^3.0", // v3.8.0
        "symfony/phpunit-bridge": "^6.2", // v6.2.5
        "symfony/stopwatch": "6.2.*", // v6.2.5
        "symfony/web-profiler-bundle": "6.2.*", // v6.2.5
        "zenstruck/browser": "^1.2", // v1.2.0
        "zenstruck/foundry": "^1.26" // v1.28.0
    }
}

Next Chapter

¿Documentos API en producción?

Share this awesome video!

Configuración del proyecto

¿Documentos interactivos en producción?

Hola ReDoc

Desactivar los Docs

Deshabilitar el formato HTML

18 Comments

Delete comment?

What PHP libraries does this tutorial use?

	api_platform:
Show Lines	// ... lines 2 - 8
	enable_entrypoint: false

	api_platform:
Show Lines	// ... lines 2 - 9
	enable_swagger: false

	api_platform:
Show Lines	// ... lines 2 - 10
	enable_swagger_ui: false

	api_platform:
	formats:
	jsonld: [ 'application/ld+json' ]
	json: [ 'application/json' ]
	jsonhal: [ 'application/hal+json' ]

Show Lines	// ... lines 7 - 10

Show Lines	// ... lines 1 - 26
	#[ApiResource(
Show Lines	// ... lines 28 - 40
	formats: [
	'jsonld',
	'json',
	'jsonhal',
	'csv' => 'text/csv',
	],
Show Lines	// ... lines 47 - 53
	)]
Show Lines	// ... lines 55 - 72
	class DragonTreasure
	{
Show Lines	// ... lines 75 - 232
	}