Login to bookmark this video
Buy Access to Course
27.

Suplantación: switch_user

|

Share this awesome video!

|

Keep on Learning!

With a Subscription, click any sentence in the script to jump to that part of the video!

Login Subscribe

¿Alguna vez te has encontrado en una situación en la que estás ayudando a alguien en línea... y sería mucho más fácil si pudieras ver lo que está viendo en su pantalla... o, mejor, si pudieras hacerte cargo temporalmente y solucionar el problema tú mismo?

Sí, sólo tienes que hacer clic en el pequeño icono del clip para adjuntar el archivo. Debería estar como cerca de la parte inferior... un clip. ¿Qué es "adjuntar un archivo"? Oh... es... como enviar un "paquete"... pero en Internet.

Ah, los recuerdos. Symfony no puede ayudar a enseñar a tu familia cómo adjuntar archivos a un correo electrónico, pero sí puede ayudar a tu personal de atención al cliente a través de una función llamada suplantación de identidad. Muy sencillo: esto da a algunos usuarios el superpoder de iniciar sesión temporalmente como otra persona.

Activar el autentificador switch_user

Así es como se hace. En primer lugar, tenemos que habilitar la función. En security.yaml, bajo nuestro cortafuegos en algún lugar, añade switch_user: true:

61 lines | config/packages/security.yaml
security:
// ... lines 2 - 20
firewalls:
// ... lines 22 - 24
main:
// ... lines 26 - 46
switch_user: true
// ... lines 48 - 61

Esto activa un nuevo autentificador. Así que ahora tenemos nuestro CustomAuthenticator,form_login, remember_me y también switch_user.

¿Cómo funciona? Bien, ahora podemos "iniciar sesión" como cualquiera añadiendo ?_switch_user=a la URL y luego una dirección de correo electrónico. Vuelve al archivo de accesorios -src/Fixtures/AppFixtures.php - y desplázate hacia abajo. Tenemos otro usuario cuyo correo electrónico conocemos: es abraca_user@example.com:

60 lines | src/DataFixtures/AppFixtures.php
// ... lines 1 - 15
class AppFixtures extends Fixture
{
public function load(ObjectManager $manager)
{
// ... lines 20 - 51
UserFactory::createOne([
'email' => 'abraca_user@example.com',
]);
// ... lines 55 - 57
}
}

Cópialo, pégalo al final de la URL y...

Acceso denegado.

Por supuesto No podemos permitir que cualquiera haga esto. El autentificador sólo lo permitirá si tenemos un rol llamado ROLE_ALLOWED_TO_SWITCH. Vamos a dárselo a nuestros usuarios administradores. Podemos hacerlo a través de role_hierarchy. Aquí arriba, ROLE_ADMIN tieneROLE_COMMENT_ADMIN y ROLE_USER_ADMIN. Vamos a darles tambiénROLE_ALLOWED_TO_SWITCH:

61 lines | config/packages/security.yaml
security:
// ... lines 2 - 6
role_hierarchy:
ROLE_ADMIN: ['ROLE_COMMENT_ADMIN', 'ROLE_USER_ADMIN', 'ROLE_ALLOWED_TO_SWITCH']
// ... lines 9 - 61

Y ahora... ¡vaya! ¡Hemos cambiado de usuario! ¡Es un icono de usuario diferente! Y lo más importante, abajo en la barra de herramientas de depuración de la web, vemos abraca_user@example.com... e incluso muestra quién es el usuario original.

Entre bastidores, cuando introdujimos la dirección de correo electrónico en la URL, el autentificador switch_userla cogió y luego aprovechó nuestro proveedor de usuarios para cargar ese objetoUser. Recuerda: tenemos un proveedor de usuarios que sabe cómo cargar usuarios de la base de datos consultando su propiedad email:

61 lines | config/packages/security.yaml
security:
// ... lines 2 - 13
# https://symfony.com/doc/current/security.html#where-do-users-come-from-user-providers
providers:
# used to reload user from session & other features (e.g. switch_user)
app_user_provider:
entity:
class: App\Entity\User
property: email
// ... lines 21 - 61

Por eso usamos email en la URL.

Para "salir" y volver a nuestro usuario original, añade de nuevo ?_switch_user= con el especial _exit.

Cambios de estilo durante la suplantación

Pero antes de hacer eso, una vez que una persona del servicio de atención al cliente se ha cambiado a otra cuenta, queremos asegurarnos de que no olvida que se ha cambiado. Así que vamos a añadir un indicador muy obvio a nuestra página de que actualmente estamos "cambiados": hagamos este fondo de cabecera rojo.

Abre el diseño base: templates/base.html.twig. En la parte superior... busca el body y elnav... y lo dividiré en varias líneas. ¿Cómo podemos comprobar si estamos suplantando a alguien? Di is_granted() y pasa estoROLE_PREVIOUS_ADMIN. Si estás suplantando a alguien, tendrás este rol.

En ese caso, añade style="background-color: red"... con !important para anular el estilo nav:

75 lines | templates/base.html.twig
// ... line 1
<html>
// ... lines 3 - 14
<body>
<nav
class="navbar navbar-expand-lg navbar-light bg-light px-1"
{{ is_granted('ROLE_PREVIOUS_ADMIN') ? 'style="background-color: red !important"' }}
>
// ... lines 20 - 66
</nav>
// ... lines 68 - 72
</body>
</html>

¡Vamos a verlo! Actualiza y... ¡ja! Es una pista muy obvia de que estamos suplantando.

Ayudar al usuario a acabar con la suplantación

Para ayudar al usuario a acabar con la suplantación, vamos a añadir un enlace. Baja al menú desplegable. Una vez más, comprueba si is_granted('ROLE_PREVIOUS_ADMIN'). Copia el enlace de abajo... pégalo... y envía al usuario a - app_homepage pero pasa un parámetro extra_switch_user establecido en _exit.

Si pasas algo al segundo argumento de path() que no sea un comodín en la ruta, Symfony lo establecerá como parámetro de consulta. Así que esto debería darnos exactamente lo que queremos. Para el texto, di "Salir de la suplantación":

82 lines | templates/base.html.twig
// ... line 1
<html>
// ... lines 3 - 14
<body>
<nav
class="navbar navbar-expand-lg navbar-light bg-light px-1"
{{ is_granted('ROLE_PREVIOUS_ADMIN') ? 'style="background-color: red !important"' }}
>
<div class="container-fluid">
// ... lines 21 - 29
<div class="collapse navbar-collapse" id="navbar-collapsable">
// ... lines 31 - 41
{% if is_granted('IS_AUTHENTICATED_REMEMBERED') %}
<div class="dropdown">
// ... lines 44 - 54
<ul class="dropdown-menu dropdown-menu-end" aria-labelledby="user-dropdown">
{% if is_granted('ROLE_PREVIOUS_ADMIN') %}
<li>
<a class="dropdown-item" href="{{ path('app_homepage', {
'_switch_user': '_exit'
}) }}">Exit Impersonation</a>
</li>
{% endif %}
// ... lines 63 - 65
</ul>
</div>
{% else %}
// ... lines 69 - 70
{% endif %}
</div>
</div>
</nav>
// ... lines 75 - 79
</body>
</html>

¡Inténtalo! Refresca. Es obvio que estamos suplantando... pulsa "Salir de la suplantación" y... volvemos a ser abraca_admin@example.com. ¡Qué bien!

Por cierto, si necesitas más control sobre los usuarios a los que se puede cambiar, puedes escuchar el evento SwitchUserEvent. Para evitar el cambio, lanza un eventoAuthenticationException. Más adelante hablaremos de los escuchadores de eventos.

A continuación: hagamos un breve descanso para hacer algo totalmente divertido, pero... no relacionado con la seguridad: construir una ruta de usuario de la API.