Chapters

47 Chapters | 4:41:51 |

01

composer require seguridad

5:07
02

make:user

5:57
03

Personalizar la clase de usuario

3:08
04

Construir un formulario de inicio de sesión

3:07
05

Cortafuegos y autenticadores

6:39
06

El autentificador y el pasaporte

6:24
07

Consulta de usuario personalizada y credenciales

6:04
08

Éxito de la autenticación y actualización del usuario

6:33
09

Cuando falla la autenticación

7:19
10

Personalizar los mensajes de error y añadir el cierre de sesión

7:33
11

Dar contraseñas a los usuarios

5:26
12

Hash de contraseñas en texto plano y PasswordCredentials

4:22
13

Sistema de eventos de seguridad y protección Csrf

6:40
14

Sistema de recordarme

7:07
15

Recordarme siempre y "signature_properties"

6:28
16

Denegación de acceso, access_control y roles

5:22
17

El punto de entrada: invitar a los usuarios a conectarse

6:45
18

AbstractLoginFormAuthenticator y redireccionamiento a la URL anterior

5:13
19

form_login: El autentificador incorporado

5:42
20

Más configuración de form_login

3:25
21

Negar el acceso en un controlador

4:57
22

Roles dinámicos

4:28
23

Las cadenas especiales ISAUTHENTICATED

9:18
24

Obtención del objeto de usuario

6:38
25

Métodos de usuario personalizados y el usuario en un servicio

7:21
26

Jerarquía de roles

5:37
27

Suplantación: switch_user

5:27
28

La API de usuario y el serializador

5:37
29

¿Utilizar o no la autenticación por token de la API?

4:09
30

Formulario de registro

5:25
31

Autenticación manual

6:12
32

Hacer preguntas propiedad de los usuarios

5:13
33

Aprovechando el propietario de la pregunta

6:09
34

Votantes

6:27
35

Votante personalizado

6:52
36

Verificar el correo electrónico tras el registro

7:57
37

Verificación de la URL firmada del correo electrónico de confirmación

7:18
38

Ralentización de inicio de sesión y eventos

6:11
39

Seguridad Eventos y Listeners

4:00
40

Crear un suscriptor de eventos de seguridad

8:47
41

Redirección personalizada cuando "Email no verificado"

7:16
42

autenticación de 2 factores y tokens de autenticación

8:33
43

2fa con TOTP (Time-Based One Time Password)

5:20
44

Activación de 2FA

5:34
45

Renderización del código QR

6:14
46

Datos QR y escaneo con una aplicación de autenticación

4:35
47

Personalizar el formulario de autenticación de dos factores

5:53

> Symfony 5 > Symfony 5 Seguridad: Autenticadores

Buy Access to Course

12.

Hash de contraseñas en texto plano y PasswordCredentials

Autoplay

Keep on Learning!

If you liked what you've learned so far, dive in! Subscribe to get
access to this tutorial plus video, code and script downloads.

Start your All-Access Pass

Buy just this tutorial for $12.00

Previous Chapter

Next Challenge

With a Subscription, click any sentence in the script to jump to that part of the video!

El proceso de guardar la contraseña de un usuario siempre es el siguiente: empieza con una contraseña en texto plano, haz un hash de la misma, y luego guarda la versión hash en el User. Esto es algo que vamos a hacer en los accesorios... pero también lo haremos en un formulario de registro más adelante... y también lo necesitarías en un formulario de cambio de contraseña.

Añadir un campo plainPassword

Para facilitar esto, voy a hacer algo opcional. En User, arriba, añade una nueva propiedad private $plainPassword:

            
Copy Code

Show All Lines

                        156 lines
            |
            src/Entity/User.php
        
Show Lines

                                                    // ... lines 1 - 12
                            
            class User implements UserInterface, PasswordAuthenticatedUserInterface
        
            {
        
Show Lines

                                                    // ... lines 15 - 41
                            
                private $plainPassword;
        
Show Lines

                                                    // ... lines 43 - 154
                            
            }

La clave es que esta propiedad no se persistirá en la base de datos: es sólo una propiedad temporal que podemos utilizar durante, por ejemplo, el registro, para almacenar la contraseña simple.

A continuación, iré a "Código"->"Generar" -o Command+N en un Mac- para generar el getter y el setter para esto. El getter devolverá un string nulo:

            
Copy Code

Show All Lines

                        156 lines
            |
            src/Entity/User.php
        
Show Lines

                                                    // ... lines 1 - 12
                            
            class User implements UserInterface, PasswordAuthenticatedUserInterface
        
            {
        
Show Lines

                                                    // ... lines 15 - 143
                            
                public function getPlainPassword(): ?string
        
                {
        
                    return $this->plainPassword;
        
                }
        
                public function setPlainPassword(string $plainPassword): self
        
                {
        
                    $this->plainPassword = $plainPassword;
        
                    return $this;
        
                }
        
            }

Ahora, si tienes una propiedad plainPassword, querrás encontrareraseCredentials() y poner $this->plainPassword en null:

            
Copy Code

Show All Lines

                        156 lines
            |
            src/Entity/User.php
        
Show Lines

                                                    // ... lines 1 - 12
                            
            class User implements UserInterface, PasswordAuthenticatedUserInterface
        
            {
        
Show Lines

                                                    // ... lines 15 - 118
                            
                public function eraseCredentials()
        
                {
        
                    // If you store any temporary, sensitive data on the user, clear it here
        
                    $this->plainPassword = null;
        
                }
        
Show Lines

                                                    // ... lines 124 - 154
                            
            }

Esto... no es realmente tan importante. Después de que la autenticación sea exitosa, Symfony llama a eraseCredentials(). Es... sólo una forma de "borrar cualquier información sensible" de tu objeto User una vez que se ha realizado la autenticación. Técnicamente nunca estableceremos plainPassword durante la autenticación... así que no importa. Pero, de nuevo, es algo seguro.

Hacer un hash de la contraseña en los accesorios

De vuelta a UserFactory, en lugar de establecer la propiedad password, estableceplainPassword como "tada":

            
Copy Code

Show All Lines

                        60 lines
            |
            src/Factory/UserFactory.php
        
Show Lines

                                                    // ... lines 1 - 28
                            
            final class UserFactory extends ModelFactory
        
            {
        
Show Lines

                                                    // ... lines 31 - 37
                            
                protected function getDefaults(): array
        
                {
        
                    return [
        
Show Lines

                                                    // ... lines 41 - 42
                            
                        'plainPassword' => 'tada',
        
                    ];
        
                }
        
Show Lines

                                                    // ... lines 46 - 58
                            
            }

Si nos detuviéramos ahora, se establecería esta propiedad... pero entonces la propiedad password seguiría siendo null... y explotaría en la base de datos porque esa columna es necesaria.

Así que, después de que Foundry haya terminado de instanciar el objeto, tenemos que ejecutar algún código adicional que lea el plainPassword y lo someta a hash. Podemos hacerlo aquí abajo, en el métodoinitialize()... mediante un gancho "después de la instanciación":

            
Copy Code

Show All Lines

                        60 lines
            |
            src/Factory/UserFactory.php
        
Show Lines

                                                    // ... lines 1 - 28
                            
            final class UserFactory extends ModelFactory
        
            {
        
Show Lines

                                                    // ... lines 31 - 46
                            
                protected function initialize(): self
        
                {
        
                    // see https://symfony.com/bundles/ZenstruckFoundryBundle/current/index.html#initialization
        
                    return $this
        
                        // ->afterInstantiate(function(User $user) {})
        
                    ;
        
                }
        
Show Lines

                                                    // ... lines 54 - 58
                            
            }

Esto está muy bien: llama a $this->afterInstantiate(), pásale una llamada de retorno y, dentro de digamos si $user->getPlainPassword() -por si acaso lo anulamos anull -, entonces $user->setPassword(). Genera el hash con$this->passwordHasher->hashPassword() pasándole el usuario al que estamos tratando de hacer el hash - así que $user - y luego lo que sea la contraseña simple:$user->getPlainPassword():

            
Copy Code

Show All Lines

                        69 lines
            |
            src/Factory/UserFactory.php
        
Show Lines

                                                    // ... lines 1 - 29
                            
            final class UserFactory extends ModelFactory
        
            {
        
Show Lines

                                                    // ... lines 32 - 49
                            
                protected function initialize(): self
        
                {
        
                    // see https://symfony.com/bundles/ZenstruckFoundryBundle/current/index.html#initialization
        
                    return $this
        
                        ->afterInstantiate(function(User $user) {
        
                            if ($user->getPlainPassword()) {
        
                                $user->setPassword(
        
                                    $this->passwordHasher->hashPassword($user, $user->getPlainPassword())
        
                                );
        
                            }
        
                        })
        
                    ;
        
                }
        
Show Lines

                                                    // ... lines 63 - 67
                            
            }

¡Hecho! Vamos a probar esto. Busca tu terminal y ejecuta:

symfony console doctrine:fixtures:load

Esto te llevará un poco más de tiempo que antes, porque hacer el hash de las contraseñas requiere un uso intensivo de la CPU. Pero... ¡funciona! Comprueba la tabla user:

symfony console doctrine:query:sql 'SELECT * FROM user'

Y... ¡lo tengo! ¡Cada usuario tiene una versión con hash de la contraseña!

Validación de la contraseña: PasswordCredentials

Por último, estamos preparados para comprobar la contraseña del usuario dentro de nuestro autentificador. Para ello, tenemos que hacer un hash de la contraseña simple enviada y luego compararla de forma segura con el hash de la base de datos.

Bueno, no necesitamos hacerlo... porque Symfony lo hará automáticamente. Compruébalo: sustituye CustomCredentials por un nuevo PasswordCredentials y pásale la contraseña en texto plano enviada:

            
Copy Code

Show All Lines

                        85 lines
            |
            src/Security/LoginFormAuthenticator.php
        
Show Lines

                                                    // ... lines 1 - 17
                            
            use Symfony\Component\Security\Http\Authenticator\Passport\Credentials\PasswordCredentials;
        
Show Lines

                                                    // ... lines 19 - 21
                            
            class LoginFormAuthenticator extends AbstractAuthenticator
        
            {
        
Show Lines

                                                    // ... lines 24 - 37
                            
                public function authenticate(Request $request): PassportInterface
        
                {
        
Show Lines

                                                    // ... lines 40 - 42
                            
                    return new Passport(
        
Show Lines

                                                    // ... lines 44 - 53
                            
                        new PasswordCredentials($password)
        
                    );
        
                }
        
Show Lines

                                                    // ... lines 57 - 83
                            
            }

¡Ya está! Pruébalo. Accede con nuestro usuario real - abraca_admin@example.com - y copia eso, y luego una contraseña errónea. ¡Muy bien! ¡Contraseña no válida! Ahora introduce la contraseña real tada. ¡Funciona!

¡Es increíble! Cuando pones un PasswordCredentials dentro de tu Passport, Symfony lo utiliza automáticamente para comparar la contraseña enviada con la contraseña con hash del usuario en la base de datos. Eso me encanta.

Todo esto es posible gracias a un potente sistema de escucha de eventos dentro de la seguridad. Vamos a aprender más sobre eso a continuación y veremos cómo podemos aprovecharlo para añadir protección CSRF a nuestro formulario de acceso... con unas dos líneas de código.

16 Comments

Sort By

Francois 3 months ago

I am kind of frustrated because with this lesson I am not quite sure of what to do when processing an actual password that is submitted in a registration form.

Assuming that $plaintextPassword is the plain password string, can I use the password setter in the User object $user as follows:

$hashedPassword = $passwordHasher->hashPassword($user,$plaintextPassword);
$user->setPassword($hashedPassword);

(this is from the doc). I assume, that, from the security yaml file, hashPassword knows it must use the email in $user; right?

| Reply |

MolloKhan SFCASTS Francois 3 months ago edited

Hey @Francois

My apologies for the bad feeling, that's not the experience we want our users to have. After hashing the user password you can set it on the object, basically as you please, usually via a setter method.
About the hasher using the email as part of the password. It does not do that, the only field it gets from the user object is the salt in case your app supports it, but it is not recommended when using modern hashing algorithms

I hope I managed to clarify things. Cheers!

| Reply |

Amine 1 year ago edited

Hi All,

I followed the tutorial but I can't connect via my email / tada

I'm on Symfony 5.3

LoginFormAuthenticator.php on line 83: Symfony\Component\Security\Core\Exception\BadCredentialsException {#589 ▼ #message: "The presented password is invalid." #code: 0 #file: "/home/amine/Projets/Symfony/Symfony6/symfony-doctrine-formation/vendor/symfony/security-http/EventListener/CheckCredentialsListener.php" #line: 74 -token: null

Best,
Amine

| Reply |

Amine Amine 1 year ago

I foun the prob.

My methode getPAssword() in USer entity return null

Good night :)

1 | Reply |

Victor SFCASTS Amine 1 year ago

Hey Amine,

I'm happy to hear you were able to find the problem yourself, well done! And thanks for sharing your solution with others ;)

Cheers!

| Reply |

MattWelander 1 year ago

Another question =) I thought the new hashing system always used sodium, and those hashed passwords always started with "$argon". If I use the symfony console security:encode-password indeed passwords do, but when I use the password hasher

$user->setPassword($this->passwordHasher->hashPassword($user, $user->getPlainPassword()));

I get a completely different string.

Both passwords work, just curious =)

| Reply |

weaverryan SFCASTS MattWelander 1 year ago

Hey @MattWelander!

Hmm, that's interesting! The point of the "auto" is that you no longer need to really care what algorithm is being used, because it'll choose whatever the latest and greatest is. That being said, I would definitely expect that security:encode-password and using the UserPasswordHasherInterface service in PHP would use the same algorithm. The algorithm is chosen, iirc, entirely based on the User class (well, the User class is used to look up your hasher config - so basically, it's chosen based on your hasher config, which does not change between php and that console command). So I also would expect to see $argon style hashed passwords in both cases. When I just checked Symfonycasts, indeed, that IS what I see: both ways give me $argon2 style hashed password.

So... that's a mystery why doing that in PHP would result in a non-argon hasher being used - I can't explain that...

Cheers!

| Reply |

MattWelander 1 year ago

Hi!
Prior to sym4 (I believe) the config security - firewalls - main - form_login would make it so that any request to a page that required authentication automatically redirected to the login page.

I find that in sym5 instead the user gets an access denied exception. What would be the equivalent config to auto-redirect to the login page?

| Reply |

MattWelander MattWelander 1 year ago

Nevermind - that question is answered a few lessons down the line =) https://symfonycasts.com/screencast/symfony-security/entry-point

2 | Reply |

Mepcuk 2 years ago edited

This command does not work with PostgeSQL
symfony console doctrine:query:sql "SELECT * FROM user"

returned just
`

user

postgres

| Reply |

Mepcuk Mepcuk 2 years ago edited

Solved - need to add -->"
symfony console doctrine:query:sql 'SELECT * FROM "user"' 

| Reply |

Victor SFCASTS Mepcuk 2 years ago

Hey Maxim,

Yeah, user might be a reserved keyword, usually we wrap table names with tick. Thank you for sharing your solution!

Cheers!

| Reply |

Mepcuk 2 years ago edited

Hi, if this is correct way to set password without Factory ?


class UserFixtures extends Fixture
{
    private UserPasswordHasherInterface $passwordHasher;

    public function __construct(UserPasswordHasherInterface $passwordHasher)
    {
        $this->passwordHasher = $passwordHasher;
    }

    public function load(ObjectManager $manager): void
    {
         $user = new User();
         $user->setEmail('panda@example.com');
         $user->setRoles(['ROLE_ADMIN', 'ROLE_SUPERADMIN', 'ROLE_USER']);
         $user->setPlainPassword('tada');
         $user->setPassword('tada');

         $manager->persist($user);
         $manager->flush();

         $user->setPassword($this->passwordHasher->hashPassword($user, $user->getPlainPassword()));

         $manager->persist($user);
         $manager->flush();
    }
}

| Reply |

weaverryan SFCASTS Mepcuk 2 years ago edited

Hey Mepcuk!

Yes! But we can even do a bit less work:

A) You can skip setting the plain password and just do $this->passwordHasher->hashPassword($user, 'tada')

B) You only need one flush(). Remove the first one and just flush/save once after you set the real password. Also, you can then remove the $user->setPassword('tada'). I'm guessing you had that just so that your database didn't throw an error during the first flush ;).

Cheers!

| Reply |

¡Este tutorial también funciona muy bien para Symfony 6!

symfony 5.3

What PHP libraries does this tutorial use?

// composer.json
{
    "require": {
        "php": ">=8.1",
        "ext-ctype": "*",
        "ext-iconv": "*",
        "babdev/pagerfanta-bundle": "^3.3", // v3.3.0
        "composer/package-versions-deprecated": "^1.11", // 1.11.99.4
        "doctrine/annotations": "^1.0", // 1.13.2
        "doctrine/doctrine-bundle": "^2.1", // 2.6.3
        "doctrine/doctrine-migrations-bundle": "^3.0", // 3.1.1
        "doctrine/orm": "^2.7", // 2.10.1
        "knplabs/knp-markdown-bundle": "^1.8", // 1.9.0
        "knplabs/knp-time-bundle": "^1.11", // v1.16.1
        "pagerfanta/doctrine-orm-adapter": "^3.3", // v3.3.0
        "pagerfanta/twig": "^3.3", // v3.3.0
        "phpdocumentor/reflection-docblock": "^5.2", // 5.2.2
        "scheb/2fa-bundle": "^5.12", // v5.12.1
        "scheb/2fa-qr-code": "^5.12", // v5.12.1
        "scheb/2fa-totp": "^5.12", // v5.12.1
        "sensio/framework-extra-bundle": "^6.0", // v6.2.0
        "stof/doctrine-extensions-bundle": "^1.4", // v1.6.0
        "symfony/asset": "5.3.*", // v5.3.4
        "symfony/console": "5.3.*", // v5.3.7
        "symfony/dotenv": "5.3.*", // v5.3.8
        "symfony/flex": "^1.3.1", // v1.21.6
        "symfony/form": "5.3.*", // v5.3.8
        "symfony/framework-bundle": "5.3.*", // v5.3.8
        "symfony/monolog-bundle": "^3.0", // v3.7.0
        "symfony/property-access": "5.3.*", // v5.3.8
        "symfony/property-info": "5.3.*", // v5.3.8
        "symfony/rate-limiter": "5.3.*", // v5.3.4
        "symfony/runtime": "5.3.*", // v5.3.4
        "symfony/security-bundle": "5.3.*", // v5.3.8
        "symfony/serializer": "5.3.*", // v5.3.8
        "symfony/stopwatch": "5.3.*", // v5.3.4
        "symfony/twig-bundle": "5.3.*", // v5.3.4
        "symfony/ux-chartjs": "^1.3", // v1.3.0
        "symfony/validator": "5.3.*", // v5.3.8
        "symfony/webpack-encore-bundle": "^1.7", // v1.12.0
        "symfony/yaml": "5.3.*", // v5.3.6
        "symfonycasts/verify-email-bundle": "^1.5", // v1.5.0
        "twig/extra-bundle": "^2.12|^3.0", // v3.3.3
        "twig/string-extra": "^3.3", // v3.3.3
        "twig/twig": "^2.12|^3.0" // v3.3.3
    },
    "require-dev": {
        "doctrine/doctrine-fixtures-bundle": "^3.3", // 3.4.0
        "symfony/debug-bundle": "5.3.*", // v5.3.4
        "symfony/maker-bundle": "^1.15", // v1.34.0
        "symfony/var-dumper": "5.3.*", // v5.3.8
        "symfony/web-profiler-bundle": "5.3.*", // v5.3.8
        "zenstruck/foundry": "^1.1" // v1.13.3
    }
}

Previous Chapter

Next Challenge

Hash de contraseñas en texto plano y PasswordCredentials

Share this awesome video!

Keep on Learning!

Añadir un campo plainPassword

Hacer un hash de la contraseña en los accesorios

Validación de la contraseña: PasswordCredentials

16 Comments

Delete comment?

What PHP libraries does this tutorial use?

Show Lines	// ... lines 1 - 12
	class User implements UserInterface, PasswordAuthenticatedUserInterface
	{
Show Lines	// ... lines 15 - 41
	private $plainPassword;
Show Lines	// ... lines 43 - 154
	}

Show Lines	// ... lines 1 - 28
	final class UserFactory extends ModelFactory
	{
Show Lines	// ... lines 31 - 37
	protected function getDefaults(): array
	{
	return [
Show Lines	// ... lines 41 - 42
	'plainPassword' => 'tada',
	];
	}
Show Lines	// ... lines 46 - 58
	}

Show Lines	// ... lines 1 - 29
	final class UserFactory extends ModelFactory
	{
Show Lines	// ... lines 32 - 49
	protected function initialize(): self
	{
	// see https://symfony.com/bundles/ZenstruckFoundryBundle/current/index.html#initialization
	return $this
	->afterInstantiate(function(User $user) {
	if ($user->getPlainPassword()) {
	$user->setPassword(
	$this->passwordHasher->hashPassword($user, $user->getPlainPassword())
	);
	}
	})
	;
	}
Show Lines	// ... lines 63 - 67
	}

Show Lines	// ... lines 1 - 17
	use Symfony\Component\Security\Http\Authenticator\Passport\Credentials\PasswordCredentials;
Show Lines	// ... lines 19 - 21
	class LoginFormAuthenticator extends AbstractAuthenticator
	{
Show Lines	// ... lines 24 - 37
	public function authenticate(Request $request): PassportInterface
	{
Show Lines	// ... lines 40 - 42
	return new Passport(
Show Lines	// ... lines 44 - 53
	new PasswordCredentials($password)
	);
	}
Show Lines	// ... lines 57 - 83
	}