如何在 socket.io 聊天中区分 Symfony 用户角色/组

2022-08-30 21:20:39

我一直在玩socket.io的聊天,我有一个问题:如何区分聊天室中的管理员用户和普通用户?我希望管理员拥有踢和禁止人等权力,但我的用户却没有。

我正在使用Symfony来开发我的应用程序,我想为聊天用户使用它的用户数据库。我正在为我的Symfony应用程序的用户使用FOSUserBundle。他们被分成多个组,所以我有这个组,还有其他组。admin

该组具有这意味着其内部的每个用户都具有该角色。即管理员组,此组中的每个用户都应有权禁止,踢,静音等聊天室中的其他用户。adminROLE_ADMIN

为了在聊天中使用我的Symfony用户,我一直在阅读Redis以获取他们的会话,但我并不完全确定如何区分我的管理员用户和普通用户。如何防止普通用户向服务器发出请求,该服务器执行用户无权访问的操作?因为任何人都可以执行请求,但是如果这些请求来自存储在Apache服务器上MySQL数据库中的用户,我该如何验证这些请求?

如果不是Symfony,如何在常规PHP应用程序中完成此操作?最后,如何定义管理员并不重要,重要的是如何将他连接到Node服务器以及如何使Node服务器与我的用户数据库一起使用。

我有一个想法,就是简单地加密用户的数据并将其发送到节点服务器,然后在那里解密。只有两台服务器知道私钥,因此即使客户端掌握了加密数据,他也无法向另一个客户端发出请求。我可能会做一些IP检查和时间戳。然后,节点服务器上解密的数据可用于说明用户是否是管理员,并允许他发送某些请求。这是一个好主意还是有更好的方法?


答案 1

我有一个想法,就是简单地加密用户的数据并将其发送到节点服务器,然后在那里解密。只有两台服务器知道私钥,因此即使客户端掌握了加密数据,他也无法向另一个客户端发出请求。

这是基本思想。

我该怎么做?我会使用类似 JWT 的东西将 userId 发送到节点应用程序。不必加密,因为我只关心jwt签名,以确保请求确实是由真实用户发出的。

之后,使用userId,我将对php应用程序进行服务器端调用,以检查用户的角色。

详细说明:

  • 节点应用和 php 应用将使用共享密钥对 JWT 令牌进行签名。
  • PHP 应用程序会将生成的令牌公开到前端。
  • socket.io 客户端会将令牌作为身份验证的一部分发送到节点应用。

如何处理封禁

  • 保留打开的套接字列表及其用户 ID
  • 在 nodejs 应用程序中创建一个 Web 服务端点,该端点可以 hanlde 来自 php 应用程序的“ban”请求。
  • 当 nodejs 应用程序收到这样的请求时,根据用户标识查找套接字并关闭连接。

答案 2

我通常会创建一个服务来检查用户的角色,通过投票者呼叫(如果需要,我可以提供一个示例)来检查特定权限,例如“此用户可以更新此特定帖子吗?SecurityAccessManager

配置

company.navigation.security_access:
    class: Company\NavigationBundle\Services\SecurityAccessManager
    arguments: 
        - @security.authorization_checker            
        - @security.token_storage

服务代码

namespace Company\NavigationBundle\Services;
use Symfony\Component\Security\Core\Authorization\AuthorizationCheckerInterface;
use Symfony\Component\Security\Core\Authentication\Token\Storage\TokenStorage;
use Symfony\Component\Security\Core\Exception\AccessDeniedException;

class SecurityAccessManager
{
    private $authorizationChecker;
    private $tokenStorage;
    private $debug;

    public function __construct(
            AuthorizationCheckerInterface $authorizationChecker,
            TokenStorage $tokenStorage)
    {      
        $this->authorizationChecker = $authorizationChecker;
        $this->tokenStorage = $tokenStorage;   
        $this->debug = true;
    }

    // *************************************************************************
    // User
    // *************************************************************************

    public function getUser()
    {
        return $this->tokenStorage->getToken()->getUser();        
    }

    public function getUserId()
    {
        return $this->tokenStorage->getToken()->getUser()->getId();        
    }

    public function isAuthenticatedUser()
    {    
       return $this->authorizationChecker->isGranted('IS_AUTHENTICATED_REMEMBERED');
    }     

    // *************************************************************************
    // Roles checker
    // *************************************************************************

    public function isAdmin()
    {
        if($this->authorizationChecker->isGranted('ROLE_ADMIN') !== true) {
            return false;
        } else {
            return true;           
        }
    }    

    public function checkRightAdmin()
    {
        if($this->authorizationChecker->isGranted('ROLE_ADMIN') !== true) {
            throw new AccessDeniedException('Unauthorised access! '.($this->debug ? __FUNCTION__ : null));
        }

        return true;           
    }   

    public function checkUserHasRightToEditPost($postId)
    {
        // Check if user has right to modify the post
        if ($this->authorizationChecker->isGranted('is_user_has_right_to_edit_post', $postId) === false) {
            throw new AccessDeniedException('Unauthorised access! '.($this->debug ? __FUNCTION__ : null));
        }

        return true;
    }  
}

然后,在控制器操作中,您可以检查用户的权限

namespace Company\YourBundle\Controller;

use Symfony\Bundle\FrameworkBundle\Controller\Controller;

class YourBunbleController extends Controller
{   
    /**
     * Get the service
     * @return \Company\NavigationBundle\Services\SecurityAccessManager
     */
    private function getService()
    {        
        return $this->get('company.navigation.security_access');
    }  

    public function updatePostAction(Request $request, $postId)
    {   
        // Throw 403 if user has no admin rights
        $this->getService()->checkRightAdmin();

        // Throw 403 if user has no rights to update the post
        $this->getService()->checkUserHasRightToEditPost();

        //OK, you can update database
        ...
    }
}

推荐