Chapters

47 Chapters | 4:41:51 |

01

composer require seguridad

5:07
02

make:user

5:57
03

Personalizar la clase de usuario

3:08
04

Construir un formulario de inicio de sesión

3:07
05

Cortafuegos y autenticadores

6:39
06

El autentificador y el pasaporte

6:24
07

Consulta de usuario personalizada y credenciales

6:04
08

Éxito de la autenticación y actualización del usuario

6:33
09

Cuando falla la autenticación

7:19
10

Personalizar los mensajes de error y añadir el cierre de sesión

7:33
11

Dar contraseñas a los usuarios

5:26
12

Hash de contraseñas en texto plano y PasswordCredentials

4:22
13

Sistema de eventos de seguridad y protección Csrf

6:40
14

Sistema de recordarme

7:07
15

Recordarme siempre y "signature_properties"

6:28
16

Denegación de acceso, access_control y roles

5:22
17

El punto de entrada: invitar a los usuarios a conectarse

6:45
18

AbstractLoginFormAuthenticator y redireccionamiento a la URL anterior

5:13
19

form_login: El autentificador incorporado

5:42
20

Más configuración de form_login

3:25
21

Negar el acceso en un controlador

4:57
22

Roles dinámicos

4:28
23

Las cadenas especiales ISAUTHENTICATED

9:18
24

Obtención del objeto de usuario

6:38
25

Métodos de usuario personalizados y el usuario en un servicio

7:21
26

Jerarquía de roles

5:37
27

Suplantación: switch_user

5:27
28

La API de usuario y el serializador

5:37
29

¿Utilizar o no la autenticación por token de la API?

4:09
30

Formulario de registro

5:25
31

Autenticación manual

6:12
32

Hacer preguntas propiedad de los usuarios

5:13
33

Aprovechando el propietario de la pregunta

6:09
34

Votantes

6:27
35

Votante personalizado

6:52
36

Verificar el correo electrónico tras el registro

7:57
37

Verificación de la URL firmada del correo electrónico de confirmación

7:18
38

Ralentización de inicio de sesión y eventos

6:11
39

Seguridad Eventos y Listeners

4:00
40

Crear un suscriptor de eventos de seguridad

8:47
41

Redirección personalizada cuando "Email no verificado"

7:16
42

autenticación de 2 factores y tokens de autenticación

8:33
43

2fa con TOTP (Time-Based One Time Password)

5:20
44

Activación de 2FA

5:34
45

Renderización del código QR

6:14
46

Datos QR y escaneo con una aplicación de autenticación

4:35
47

Personalizar el formulario de autenticación de dos factores

5:53

> Symfony 5 > Symfony 5 Seguridad: Autenticadores

Buy Access to Course

07.

Consulta de usuario personalizada y credenciales

Autoplay

Keep on Learning!

If you liked what you've learned so far, dive in! Subscribe to get
access to this tutorial plus video, code and script downloads.

Start your All-Access Pass

Buy just this tutorial for $12.00

Previous Challenge

Next Chapter

With a Subscription, click any sentence in the script to jump to that part of the video!

En la pantalla, vemos un dd() de la contraseña que introduje en el formulario de acceso y el objeto de entidad User para el correo electrónico que introduje. ¡Algo, de alguna manera, supo tomar el correo electrónico introducido y consultar por el Usuario!

UserBadge y el proveedor de usuarios

Así es como funciona esto. Después de que devolvamos el objeto Passport, el sistema de seguridad intenta encontrar el objeto User a partir de UserBadge. Si sólo le pasas un argumento a UserBadge -como es nuestro caso-, lo hace aprovechando nuestro proveedor de usuarios. ¿Recuerdas esa cosa de security.yaml llamada providers?

            
Copy Code

Show All Lines

                        34 lines
            |
            config/packages/security.yaml
        
            security:
        
Show Lines

                                                    // ... lines 2 - 7
                            
                providers:
        
                    # used to reload user from session & other features (e.g. switch_user)
        
                    app_user_provider:
        
                        entity:
        
                            class: App\Entity\User
        
                            property: email
        
Show Lines

                                                    // ... lines 14 - 34

Como nuestra clase User es una entidad, estamos utilizando el proveedor entity que sabe cómo cargar usuarios utilizando la propiedad email. Así que, básicamente, se trata de un objeto que es muy bueno para consultar la tabla de usuarios a través de la propiedad email. Así que cuando pasamos sólo el correo electrónico a UserBadge, el proveedor de usuarios lo utiliza para consultar User.

Si se encuentra un objeto User, Symfony intenta entonces "comprobar las credenciales" de nuestro pasaporte. Como estamos utilizando CustomCredentials, esto significa que ejecuta esta llamada de retorno... en la que volcamos algunos datos. Si no se encuentra un User - porque hemos introducido un correo electrónico que no está en la base de datos - la autenticación falla. Pronto veremos más sobre estas dos situaciones.

Consulta de usuario personalizada

En cualquier caso, la cuestión es la siguiente: si sólo pasas un argumento a UserBadge, el proveedor de usuarios carga el usuario automáticamente. Eso es lo más fácil de hacer. E incluso puedes personalizar un poco esta consulta si lo necesitas - busca "Usar una consulta personalizada para cargar el usuario" en los documentos de Symfony para ver cómo hacerlo.

O... puedes escribir tu propia lógica personalizada para cargar el usuario aquí mismo. Para ello, vamos a necesitar el UserRepository. En la parte superior de la clase, añadepublic function __construct()... y autoconduce un argumento UserRepository. PulsaréAlt+Enter y seleccionaré "Inicializar propiedades" para crear esa propiedad y establecerla:

            
Copy Code

Show All Lines

                        75 lines
            |
            src/Security/LoginFormAuthenticator.php
        
Show Lines

                                                    // ... lines 1 - 5
                            
            use App\Repository\UserRepository;
        
Show Lines

                                                    // ... lines 7 - 17
                            
            class LoginFormAuthenticator extends AbstractAuthenticator
        
            {
        
                private UserRepository $userRepository;
        
                public function __construct(UserRepository $userRepository)
        
                {
        
                    $this->userRepository = $userRepository;
        
                }
        
Show Lines

                                                    // ... lines 26 - 73
                            
            }

En authenticate(), UserBadge tiene un segundo argumento opcional llamado cargador de usuario. Pásale una llamada de retorno con un argumento: $userIdentifier:

            
Copy Code

Show All Lines

                        75 lines
            |
            src/Security/LoginFormAuthenticator.php
        
Show Lines

                                                    // ... lines 1 - 17
                            
            class LoginFormAuthenticator extends AbstractAuthenticator
        
            {
        
Show Lines

                                                    // ... lines 20 - 31
                            
                public function authenticate(Request $request): PassportInterface
        
                {
        
Show Lines

                                                    // ... lines 34 - 36
                            
                    return new Passport(
        
                        new UserBadge($email, function($userIdentifier) {
        
Show Lines

                                                    // ... lines 39 - 46
                            
                        }),
        
Show Lines

                                                    // ... lines 48 - 50
                            
                    );
        
                }
        
Show Lines

                                                    // ... lines 53 - 73
                            
            }

Es bastante sencillo: si le pasas un callable, cuando Symfony cargue tu User, llamará a esta función en lugar de a tu proveedor de usuario. Nuestro trabajo aquí es cargar el usuario y devolverlo. El $userIdentifier será lo que hayamos pasado al primer argumento de UserBadge... así que el email en nuestro caso.

Digamos que $user = $this->userRepository->findOneBy() para consultar email se ajusta a$userIdentifier:

            
Copy Code

Show All Lines

                        75 lines
            |
            src/Security/LoginFormAuthenticator.php
        
Show Lines

                                                    // ... lines 1 - 17
                            
            class LoginFormAuthenticator extends AbstractAuthenticator
        
            {
        
Show Lines

                                                    // ... lines 20 - 31
                            
                public function authenticate(Request $request): PassportInterface
        
                {
        
Show Lines

                                                    // ... lines 34 - 36
                            
                    return new Passport(
        
                        new UserBadge($email, function($userIdentifier) {
        
                            // optionally pass a callback to load the User manually
        
                            $user = $this->userRepository->findOneBy(['email' => $userIdentifier]);
        
Show Lines

                                                    // ... lines 41 - 46
                            
                        }),
        
Show Lines

                                                    // ... lines 48 - 50
                            
                    );
        
                }
        
Show Lines

                                                    // ... lines 53 - 73
                            
            }

Aquí es donde puedes utilizar cualquier consulta personalizada que quieras. Si no podemos encontrar al usuario, tenemos que lanzar una excepción especial. Así que si no es $user,throw new UserNotFoundException(). Eso hará que falle la autenticación. En la parte inferior, devuelve $user:

            
Copy Code

Show All Lines

                        75 lines
            |
            src/Security/LoginFormAuthenticator.php
        
Show Lines

                                                    // ... lines 1 - 17
                            
            class LoginFormAuthenticator extends AbstractAuthenticator
        
            {
        
Show Lines

                                                    // ... lines 20 - 31
                            
                public function authenticate(Request $request): PassportInterface
        
                {
        
Show Lines

                                                    // ... lines 34 - 36
                            
                    return new Passport(
        
                        new UserBadge($email, function($userIdentifier) {
        
                            // optionally pass a callback to load the User manually
        
                            $user = $this->userRepository->findOneBy(['email' => $userIdentifier]);
        
                            if (!$user) {
        
                                throw new UserNotFoundException();
        
                            }
        
                            return $user;
        
                        }),
        
Show Lines

                                                    // ... lines 48 - 50
                            
                    );
        
                }
        
Show Lines

                                                    // ... lines 53 - 73
                            
            }

Esto... es básicamente idéntico a lo que hacía nuestro proveedor de usuarios hace un minuto... así que no cambiará nada. Pero puedes ver que tenemos el poder de cargar elUser como queramos.

Actualicemos. Sí El mismo volcado que antes.

Validación de las credenciales

Bien, si se encuentra un objeto User - ya sea desde nuestro callback personalizado o desde el proveedor de usuarios - Symfony comprueba a continuación nuestras credenciales, lo que significa algo diferente dependiendo del objeto de credenciales que pases. Hay 3 principales:PasswordCredentials - lo veremos más adelante, un SelfValidatingPassport que sirve para la autenticación de la API y no necesita ninguna credencial - y CustomCredentials.

Si usas CustomCredentials, Symfony ejecuta la llamada de retorno... y nuestro trabajo es "comprobar sus credenciales"... sea lo que sea que eso signifique en nuestra aplicación. El argumento $credentialscoincidirá con lo que hayamos pasado al segundo argumento de CustomCredentials. Para nosotros, eso es la contraseña enviada:

            
Copy Code

Show All Lines

                        75 lines
            |
            src/Security/LoginFormAuthenticator.php
        
Show Lines

                                                    // ... lines 1 - 17
                            
            class LoginFormAuthenticator extends AbstractAuthenticator
        
            {
        
Show Lines

                                                    // ... lines 20 - 31
                            
                public function authenticate(Request $request): PassportInterface
        
                {
        
Show Lines

                                                    // ... lines 34 - 36
                            
                    return new Passport(
        
Show Lines

                                                    // ... lines 38 - 47
                            
                        new CustomCredentials(function($credentials, User $user) {
        
Show Lines

                                                    // ... line 49
                            
                        }, $password)
        
                    );
        
                }
        
Show Lines

                                                    // ... lines 53 - 73
                            
            }

¡Imaginemos que todos los usuarios tienen la misma contraseña tada! Para validarlo, devuelve true si $credentials === 'tada':

            
Copy Code

Show All Lines

                        75 lines
            |
            src/Security/LoginFormAuthenticator.php
        
Show Lines

                                                    // ... lines 1 - 17
                            
            class LoginFormAuthenticator extends AbstractAuthenticator
        
            {
        
Show Lines

                                                    // ... lines 20 - 31
                            
                public function authenticate(Request $request): PassportInterface
        
                {
        
Show Lines

                                                    // ... lines 34 - 36
                            
                    return new Passport(
        
Show Lines

                                                    // ... lines 38 - 47
                            
                        new CustomCredentials(function($credentials, User $user) {
        
                            return $credentials === 'tada';
        
                        }, $password)
        
                    );
        
                }
        
Show Lines

                                                    // ... lines 53 - 73
                            
            }

¡Seguridad hermética!

Fallo y éxito de la autenticación

Si devolvemos true desde esta función, ¡la autenticación ha sido un éxito! ¡Vaya! Si devolvemos false, la autenticación falla. Para comprobarlo, baja a onAuthenticationSuccess() y dd('success'). Haz lo mismo dentro de onAuthenticationFailure():

            
Copy Code

Show All Lines

                        75 lines
            |
            src/Security/LoginFormAuthenticator.php
        
Show Lines

                                                    // ... lines 1 - 17
                            
            class LoginFormAuthenticator extends AbstractAuthenticator
        
            {
        
Show Lines

                                                    // ... lines 20 - 53
                            
                public function onAuthenticationSuccess(Request $request, TokenInterface $token, string $firewallName): ?Response
        
                {
        
                    dd('success');
        
                }
        
                public function onAuthenticationFailure(Request $request, AuthenticationException $exception): ?Response
        
                {
        
                    dd('failure');
        
                }
        
Show Lines

                                                    // ... lines 63 - 73
                            
            }

Pronto pondremos código real en estos métodos... pero su propósito se explica por sí mismo: si la autenticación tiene éxito, Symfony llamará a onAuthenticationSuccess(). Si la autenticación falla por cualquier motivo - como un correo electrónico o una contraseña no válidos - Symfony llamará a onAuthenticationFailure().

¡Vamos a probarlo! Vuelve directamente a /login. Utiliza de nuevo el correo electrónico real -abraca_admin@example.com con la contraseña correcta: tada. Envía y... ¡sí! llamó a onAuthenticationSuccess(). ¡La autenticación se ha completado!

Lo sé, todavía no parece gran cosa... así que a continuación, vamos a hacer algo en caso de éxito, como redirigir a otra página. También vamos a conocer el otro trabajo crítico de un proveedor de usuarios: refrescar el usuario de la sesión al principio de cada petición para mantenernos conectados.

6 Comments

Sort By

akincer 2 years ago

If one wanted to use LDAP to do the password checking but otherwise have a normal symfony user (and not an LdapUser) would you do the password checking in the custom credentials? That's kind of what I took it to mean by "whatever that means in our app".

| Reply |

weaverryan SFCASTS akincer 2 years ago

Hey @Aaron Kincer!

You got it :). That's exactly what I would do. Let me know if it works out like you want!

Cheers!

| Reply |

akincer weaverryan 2 years ago

Yes this seems like it's going to do what I want. Due to the bind function in the ldap component taking over on invalid credentials I wrote some lower level LDAP auth code using the built-in LDAP facilities so I could trap the invalid credentials myself and return false.

Another thing I did was have the UserBadge callback code create a new symfony user in the database if one didn't exist but the username DOES exist in LDAP so the user could be returned. Since LDAP is the user database registration didn't make sense really.

One oddity is the "Logged in as" on the debug toolbar shows nothing. I feel like I ran in to that once before and you might have even told me the solution. I've eaten and slept since then though. I'll figure it out.

| Reply |

akincer akincer 2 years ago

I swear I searched for all instances of "email" in the User entity and didn't see this but nonetheless the answer was indeed simple -- changing the field getUserIdentifier() returns.

| Reply |

Aaron Kincer akincer 2 years ago

Ahh looks like the debug toolbar is determined to use email to identify who's logged on despite me configuring userId in security.yaml under app_user_provider as the identifying property. The getUsername function returns userId so I'm confused here as to why the profiler is determined to use email instead of userId. I'll keep looking.

Thanks for the help. Cheers to you!

| Reply |

weaverryan SFCASTS Aaron Kincer 2 years ago

Hey @Aaron Kincer!

Ha! Yes, nice job all around - including debugging :). Your setup makes sense to me - including the part of inserting a User if it's found in LDAP but not (yet) in your local database. That is the proper way to do it (not registration).

Cheers!

| Reply |

¡Este tutorial también funciona muy bien para Symfony 6!

symfony 5.3

What PHP libraries does this tutorial use?

// composer.json
{
    "require": {
        "php": ">=8.1",
        "ext-ctype": "*",
        "ext-iconv": "*",
        "babdev/pagerfanta-bundle": "^3.3", // v3.3.0
        "composer/package-versions-deprecated": "^1.11", // 1.11.99.4
        "doctrine/annotations": "^1.0", // 1.13.2
        "doctrine/doctrine-bundle": "^2.1", // 2.6.3
        "doctrine/doctrine-migrations-bundle": "^3.0", // 3.1.1
        "doctrine/orm": "^2.7", // 2.10.1
        "knplabs/knp-markdown-bundle": "^1.8", // 1.9.0
        "knplabs/knp-time-bundle": "^1.11", // v1.16.1
        "pagerfanta/doctrine-orm-adapter": "^3.3", // v3.3.0
        "pagerfanta/twig": "^3.3", // v3.3.0
        "phpdocumentor/reflection-docblock": "^5.2", // 5.2.2
        "scheb/2fa-bundle": "^5.12", // v5.12.1
        "scheb/2fa-qr-code": "^5.12", // v5.12.1
        "scheb/2fa-totp": "^5.12", // v5.12.1
        "sensio/framework-extra-bundle": "^6.0", // v6.2.0
        "stof/doctrine-extensions-bundle": "^1.4", // v1.6.0
        "symfony/asset": "5.3.*", // v5.3.4
        "symfony/console": "5.3.*", // v5.3.7
        "symfony/dotenv": "5.3.*", // v5.3.8
        "symfony/flex": "^1.3.1", // v1.21.6
        "symfony/form": "5.3.*", // v5.3.8
        "symfony/framework-bundle": "5.3.*", // v5.3.8
        "symfony/monolog-bundle": "^3.0", // v3.7.0
        "symfony/property-access": "5.3.*", // v5.3.8
        "symfony/property-info": "5.3.*", // v5.3.8
        "symfony/rate-limiter": "5.3.*", // v5.3.4
        "symfony/runtime": "5.3.*", // v5.3.4
        "symfony/security-bundle": "5.3.*", // v5.3.8
        "symfony/serializer": "5.3.*", // v5.3.8
        "symfony/stopwatch": "5.3.*", // v5.3.4
        "symfony/twig-bundle": "5.3.*", // v5.3.4
        "symfony/ux-chartjs": "^1.3", // v1.3.0
        "symfony/validator": "5.3.*", // v5.3.8
        "symfony/webpack-encore-bundle": "^1.7", // v1.12.0
        "symfony/yaml": "5.3.*", // v5.3.6
        "symfonycasts/verify-email-bundle": "^1.5", // v1.5.0
        "twig/extra-bundle": "^2.12|^3.0", // v3.3.3
        "twig/string-extra": "^3.3", // v3.3.3
        "twig/twig": "^2.12|^3.0" // v3.3.3
    },
    "require-dev": {
        "doctrine/doctrine-fixtures-bundle": "^3.3", // 3.4.0
        "symfony/debug-bundle": "5.3.*", // v5.3.4
        "symfony/maker-bundle": "^1.15", // v1.34.0
        "symfony/var-dumper": "5.3.*", // v5.3.8
        "symfony/web-profiler-bundle": "5.3.*", // v5.3.8
        "zenstruck/foundry": "^1.1" // v1.13.3
    }
}

Previous Challenge

Next Chapter

Consulta de usuario personalizada y credenciales

Share this awesome video!

Keep on Learning!

UserBadge y el proveedor de usuarios

Consulta de usuario personalizada

Validación de las credenciales

Fallo y éxito de la autenticación

6 Comments

Delete comment?

What PHP libraries does this tutorial use?

	security:
Show Lines	// ... lines 2 - 7
	providers:
	# used to reload user from session & other features (e.g. switch_user)
	app_user_provider:
	entity:
	class: App\Entity\User
	property: email
Show Lines	// ... lines 14 - 34

Show Lines	// ... lines 1 - 5
	use App\Repository\UserRepository;
Show Lines	// ... lines 7 - 17
	class LoginFormAuthenticator extends AbstractAuthenticator
	{
	private UserRepository $userRepository;

	public function __construct(UserRepository $userRepository)
	{
	$this->userRepository = $userRepository;
	}
Show Lines	// ... lines 26 - 73
	}

Show Lines	// ... lines 1 - 17
	class LoginFormAuthenticator extends AbstractAuthenticator
	{
Show Lines	// ... lines 20 - 31
	public function authenticate(Request $request): PassportInterface
	{
Show Lines	// ... lines 34 - 36
	return new Passport(
	new UserBadge($email, function($userIdentifier) {
Show Lines	// ... lines 39 - 46
	}),
Show Lines	// ... lines 48 - 50
	);
	}
Show Lines	// ... lines 53 - 73
	}