Chapters

47 Chapters | 4:41:51 |

01

composer require seguridad

5:07
02

make:user

5:57
03

Personalizar la clase de usuario

3:08
04

Construir un formulario de inicio de sesión

3:07
05

Cortafuegos y autenticadores

6:39
06

El autentificador y el pasaporte

6:24
07

Consulta de usuario personalizada y credenciales

6:04
08

Éxito de la autenticación y actualización del usuario

6:33
09

Cuando falla la autenticación

7:19
10

Personalizar los mensajes de error y añadir el cierre de sesión

7:33
11

Dar contraseñas a los usuarios

5:26
12

Hash de contraseñas en texto plano y PasswordCredentials

4:22
13

Sistema de eventos de seguridad y protección Csrf

6:40
14

Sistema de recordarme

7:07
15

Recordarme siempre y "signature_properties"

6:28
16

Denegación de acceso, access_control y roles

5:22
17

El punto de entrada: invitar a los usuarios a conectarse

6:45
18

AbstractLoginFormAuthenticator y redireccionamiento a la URL anterior

5:13
19

form_login: El autentificador incorporado

5:42
20

Más configuración de form_login

3:25
21

Negar el acceso en un controlador

4:57
22

Roles dinámicos

4:28
23

Las cadenas especiales ISAUTHENTICATED

9:18
24

Obtención del objeto de usuario

6:38
25

Métodos de usuario personalizados y el usuario en un servicio

7:21
26

Jerarquía de roles

5:37
27

Suplantación: switch_user

5:27
28

La API de usuario y el serializador

5:37
29

¿Utilizar o no la autenticación por token de la API?

4:09
30

Formulario de registro

5:25
31

Autenticación manual

6:12
32

Hacer preguntas propiedad de los usuarios

5:13
33

Aprovechando el propietario de la pregunta

6:09
34

Votantes

6:27
35

Votante personalizado

6:52
36

Verificar el correo electrónico tras el registro

7:57
37

Verificación de la URL firmada del correo electrónico de confirmación

7:18
38

Ralentización de inicio de sesión y eventos

6:11
39

Seguridad Eventos y Listeners

4:00
40

Crear un suscriptor de eventos de seguridad

8:47
41

Redirección personalizada cuando "Email no verificado"

7:16
42

autenticación de 2 factores y tokens de autenticación

8:33
43

2fa con TOTP (Time-Based One Time Password)

5:20
44

Activación de 2FA

5:34
45

Renderización del código QR

6:13
46

Datos QR y escaneo con una aplicación de autenticación

4:35
47

Personalizar el formulario de autenticación de dos factores

5:53

> Symfony 5 > Symfony 5 Seguridad: Autenticadores

Buy Access to Course

20.

Más configuración de form_login

Autoplay

Keep on Learning!

If you liked what you've learned so far, dive in! Subscribe to get
access to this tutorial plus video, code and script downloads.

Start your All-Access Pass

Buy just this tutorial for $12.00

Previous Chapter

Next Chapter

With a Subscription, click any sentence in the script to jump to that part of the video!

Utilizar form_login no es tan flexible como una clase de autentificador personalizada... aunque se pueden configurar muchas cosas.

Por ejemplo, ahora mismo, no comprueba nuestro token CSRF. Habilita eso diciendo enable_csrf: true:

            Copy Code

                            Show All Lines

                        54 lines
            |
            config/packages/security.yaml
        
            security:
        
                Show Lines

                                                    // ... lines 2 - 16
                            
                firewalls:
        
                Show Lines

                                                    // ... lines 18 - 20
                            
                    main:
        
                Show Lines

                                                    // ... lines 22 - 24
                            
                        form_login:
        
                Show Lines

                                                    // ... lines 26 - 29
                            
                            enable_csrf: true
        
                Show Lines

                                                    // ... lines 31 - 54

¡Eso es! En las opciones, cuando activas la protección CSRF, busca un campo oculto llamado _csrf_token con la cadena authenticate utilizada para generarlo. Afortunadamente, en nuestra plantilla, ya estamos utilizando ambas cosas... así que esto va a funcionar.

Ver la lista completa de opciones

Y hay aún más formas de configurarlo. Recuerda: para obtener esta configuración, he ejecutado debug:config security... que muestra tu configuración actual, incluyendo los valores por defecto. Pero aquí no se muestran todas las opciones. Para ver una lista completa, ejecutaconfig:dump security.

symfony console config:dump security

En lugar de mostrar tu configuración actual, esto muestra una enorme lista de configuraciones de ejemplo. Esta es una lista mucho más grande... aquí está form_login. Mucho de esto lo hemos visto antes... pero success_handler y failure_handler son nuevos. Puedes buscarlos en la documentación para aprender a controlar lo que ocurre tras el éxito o el fracaso.

Pero también, más adelante, vamos a conocer una forma más global de engancharse al proceso de éxito o fracaso registrando un oyente de eventos.

Renderización de "último_nombre_de_usuario" en el formulario de inicio de sesión

De todos modos, ya no vamos a utilizar nuestro LoginFormAuthenticator, así que puedes eliminarlo.

Y... ¡Tengo buenas noticias! ¡El autentificador principal está haciendo una cosa que nuestra clase nunca hizo! En authenticate()... llama a getCredentials() para leer los datos POST. Déjame buscar "sesión"... ¡yup! Esto me llevó agetCredentials(). De todos modos, después de coger el correo electrónico enviado - en este código que se almacena como $credentials['username'] - guarda ese valor en la sesión.

Lo hace para que, si falla la autenticación, podamos leerlo y rellenar previamente la casilla del correo electrónico en el formulario de acceso.

¡Vamos a hacerlo! Ve a nuestro controlador: src/Controller/SecurityController.php. EsteAuthenticationUtils tiene otro método útil. Pasa una nueva variable a la plantilla llamada last_username -puedes llamarla last_email si quieres- y ponla en $authenticationUtils->getLastUsername():

            Copy Code

                            Show All Lines

                        31 lines
            |
            src/Controller/SecurityController.php
        
                Show Lines

                                                    // ... lines 1 - 9
                            
            class SecurityController extends AbstractController
        
            {
        
                Show Lines

                                                    // ... lines 12 - 14
                            
                public function login(AuthenticationUtils $authenticationUtils): Response
        
                {
        
                    return $this->render('security/login.html.twig', [
        
                Show Lines

                                                    // ... line 18
                            
                        'last_username' => $authenticationUtils->getLastUsername(),
        
                    ]);
        
                }
        
                Show Lines

                                                    // ... lines 22 - 29
                            
            }

Una vez más, esto es sólo un ayudante para leer una clave específica de la sesión.

Ahora, en la plantilla - login.html.twig - aquí arriba en el campo de correo electrónico, añadevalue="{{ last_username }} ":

            Copy Code

                            Show All Lines

                        39 lines
            |
            templates/security/login.html.twig
        
                Show Lines

                                                    // ... lines 1 - 4
                            
            {% block body %}
        
            <div class="container">
        
                <div class="row">
        
                    <div class="login-form bg-light mt-4 p-4">
        
                        <form method="post" class="row g-3">
        
                Show Lines

                                                    // ... lines 10 - 15
                            
                            <div class="col-12">
        
                Show Lines

                                                    // ... line 17
                            
                                <input type="email" name="email" id="inputEmail" class="form-control" value="{{ last_username }}" required autofocus>
        
                            </div>
        
                Show Lines

                                                    // ... lines 20 - 33
                            
                        </form>
        
                    </div>
        
                </div>
        
            </div>
        
            {% endblock %}

¡Genial! Si vamos a /login... ¡ya está ahí por haber rellenado el formulario hace un minuto! Si introducimos un correo electrónico diferente... ¡sí! Eso también se pega.

A continuación: volvamos a la autorización aprendiendo a denegar el acceso en un controlador... de varias maneras.

10 Comments

Sort By

Mahmut-A 1 year ago edited

Hello,

When I use FormLoginAuthenticator(built-in) and try to login, the page is still redirecting login page. Authentication is succesfull but page is same.
We were coding redirect response in LoginFormAuthenticator(custom) as below. Did you configure anything for redirection in buil-in authenticator like custom authenticator? If not, why do I see same login page, do I have to configure authentictionsuccess also in buil-in?

    public function onAuthenticationSuccess(Request $request, TokenInterface $token, string $firewallName): ?Response
    {

        $user = $token->getUser();

        $transliterator = \Transliterator::create('Any-Latin; Latin-ASCII; Lower();');
        $username = $transliterator->transliterate(str_replace(' ', '-', $user->getUsername()));

        if ($target = $this->getTargetPath($request->getSession(),$firewallName))
        {
            return new RedirectResponse($target);
        }


           return  new RedirectResponse(
               $this->router->generate('app_main_homepage',['username' => $username])
           );
    }

Built-in Authenticator:

    public function onAuthenticationSuccess(Request $request, TokenInterface $token, string $firewallName): ?Response
    {
        return $this->successHandler->onAuthenticationSuccess($request, $token);
    }

| Reply |

Victor SFCASTS Mahmut-A 1 year ago

Hey Mahmut,

I didn't get why you send 2 different codes from onAuthenticationSuccess().. .which is yours? I suppose you use the custom authenticator like that first code block, so I will assume that's your code. Maybe try to debug the flow with dd()? Make sure you hit that return new RedirectResponse($this->router->generate('app_main_homepage',['username' => $username])); line on the successful login. If not - most probably you hit the earlier redirect which is return new RedirectResponse($target);. Probably you need to tweak the logic in your onAuthenticationSuccess() to make sure you redirect users to correct pages.

I hope that helps!

Cheers!

| Reply |

Mahmut-A Victor 1 year ago edited

Hi Victor,

Sorry for confusing. I am using below code during error. I mean if ı use built-in authenticator, it is redirecting same login page.

However, my custom login authenticator is working well.

    public function onAuthenticationSuccess(Request $request, TokenInterface $token, string $firewallName): ?Response
    {
        return $this->successHandler->onAuthenticationSuccess($request, $token);
    }

| Reply |

Victor SFCASTS Mahmut-A 11 months ago edited

Hey Mahmut,

The built-in authenticator can be configured via the configuration, but if you need more flexibility - better to go with your own custom authenticator where you can do whatever you want. Still you can debug the flow using dd() - that should help to understand the flow and why it does not work as expected for you.

Cheers!

| Reply |

Francois 2 years ago edited

I do not get the pre-filled email input once I have logged out. Is this normal? Is it because the session data has been erased at logout?

| Reply |

Victor SFCASTS Francois 2 years ago

Hey Francois,

You can totally ignore that value={{ last_username }} of course if it's not something you need. But the idea behind this thing is to keep the last username user entered - useful when they have misprint their credentials, e.g. password so they don't need to retype the username again and try a different password. That's a common practice on may websites over the internet, but that's totally up to you. Of course when you log out going to the /logout URL - the session will be destroyed and you will not see that last_username anymore.

Cheers!

| Reply |

Soufiyane 3 years ago edited

how can we implement this if we kept using the old loginFormAuthonticator on the onAuthenticationFailure method?

| Reply |

weaverryan SFCASTS Soufiyane 3 years ago

Hey @Soufiyane!

Are you referring to how to print the "last username" thing? If so, the 2 steps are:

1) In your custom authenticator, in authenticate(), after reading the email, call:

$request->getSession()->set(SecurityRequestAttributes::LAST_USERNAME, $credentials['username']);

2) In your controller, read that value in the same way as see in this chapter :).

Let me know if that helps!

Cheers!

| Reply |

Lechu85 4 years ago edited

Hi. I stayed with the custom login in my project. Can you show me how to add $authenticationUtils-> getLastUsername(), in this case? In case without form_login: it didn't work :)

| Reply |

MolloKhan SFCASTS Lechu85 4 years ago edited

Hey Leszek,

You only need to inject the service Symfony\Component\Security\Http\Authentication\AuthenticationUtils into your Controller's method, or in case you need it in your authenticator, you can add another argument constructor and inject it there

Cheers!

1 | Reply |

¡Este tutorial también funciona muy bien para Symfony 6!

symfony 5.3

What PHP libraries does this tutorial use?

// composer.json
{
    "require": {
        "php": ">=8.2",
        "ext-ctype": "*",
        "ext-iconv": "*",
        "babdev/pagerfanta-bundle": "^3.3", // v3.3.0
        "composer/package-versions-deprecated": "^1.11", // 1.11.99.4
        "doctrine/annotations": "^1.0", // 1.13.2
        "doctrine/doctrine-bundle": "^2.1", // 2.6.3
        "doctrine/doctrine-migrations-bundle": "^3.0", // 3.1.1
        "doctrine/orm": "^2.7", // 2.10.1
        "knplabs/knp-markdown-bundle": "^1.8", // 1.9.0
        "knplabs/knp-time-bundle": "^1.11", // v1.16.1
        "pagerfanta/doctrine-orm-adapter": "^3.3", // v3.3.0
        "pagerfanta/twig": "^3.3", // v3.3.0
        "phpdocumentor/reflection-docblock": "^5.2", // 5.2.2
        "scheb/2fa-bundle": "^5.12", // v5.12.1
        "scheb/2fa-qr-code": "^5.12", // v5.12.1
        "scheb/2fa-totp": "^5.12", // v5.12.1
        "sensio/framework-extra-bundle": "^6.0", // v6.2.0
        "stof/doctrine-extensions-bundle": "^1.4", // v1.6.0
        "symfony/asset": "5.3.*", // v5.3.4
        "symfony/console": "5.3.*", // v5.3.7
        "symfony/dotenv": "5.3.*", // v5.3.8
        "symfony/flex": "^1.3.1", // v1.21.6
        "symfony/form": "5.3.*", // v5.3.8
        "symfony/framework-bundle": "5.3.*", // v5.3.8
        "symfony/monolog-bundle": "^3.0", // v3.7.0
        "symfony/property-access": "5.3.*", // v5.3.8
        "symfony/property-info": "5.3.*", // v5.3.8
        "symfony/rate-limiter": "5.3.*", // v5.3.4
        "symfony/runtime": "5.3.*", // v5.3.4
        "symfony/security-bundle": "5.3.*", // v5.3.8
        "symfony/serializer": "5.3.*", // v5.3.8
        "symfony/stopwatch": "5.3.*", // v5.3.4
        "symfony/twig-bundle": "5.3.*", // v5.3.4
        "symfony/ux-chartjs": "^1.3", // v1.3.0
        "symfony/validator": "5.3.*", // v5.3.8
        "symfony/webpack-encore-bundle": "^1.7", // v1.12.0
        "symfony/yaml": "5.3.*", // v5.3.6
        "symfonycasts/verify-email-bundle": "^1.5", // v1.5.0
        "twig/extra-bundle": "^2.12|^3.0", // v3.3.3
        "twig/string-extra": "^3.3", // v3.3.3
        "twig/twig": "^2.12|^3.0" // v3.3.3
    },
    "require-dev": {
        "doctrine/doctrine-fixtures-bundle": "^3.3", // 3.4.0
        "symfony/debug-bundle": "5.3.*", // v5.3.4
        "symfony/maker-bundle": "^1.15", // v1.34.0
        "symfony/var-dumper": "5.3.*", // v5.3.8
        "symfony/web-profiler-bundle": "5.3.*", // v5.3.8
        "zenstruck/foundry": "^1.1" // v1.13.3
    }
}

Previous Chapter

Next Chapter

Más configuración de form_login

Share this awesome video!

Keep on Learning!

Ver la lista completa de opciones

Renderización de "último_nombre_de_usuario" en el formulario de inicio de sesión

10 Comments

Delete comment?

What PHP libraries does this tutorial use?

	security:
Show Lines	// ... lines 2 - 16
	firewalls:
Show Lines	// ... lines 18 - 20
	main:
Show Lines	// ... lines 22 - 24
	form_login:
Show Lines	// ... lines 26 - 29
	enable_csrf: true
Show Lines	// ... lines 31 - 54

Show Lines	// ... lines 1 - 9
	class SecurityController extends AbstractController
	{
Show Lines	// ... lines 12 - 14
	public function login(AuthenticationUtils $authenticationUtils): Response
	{
	return $this->render('security/login.html.twig', [
Show Lines	// ... line 18
	'last_username' => $authenticationUtils->getLastUsername(),
	]);
	}
Show Lines	// ... lines 22 - 29
	}

Show Lines	// ... lines 1 - 4
	{% block body %}
	<div class="container">
	<div class="row">
	<div class="login-form bg-light mt-4 p-4">
	<form method="post" class="row g-3">
Show Lines	// ... lines 10 - 15
	<div class="col-12">
Show Lines	// ... line 17
	<input type="email" name="email" id="inputEmail" class="form-control" value="{{ last_username }}" required autofocus>
	</div>
Show Lines	// ... lines 20 - 33
	</form>
	</div>
	</div>
	</div>
	{% endblock %}