Security Component Bundle

Transkript

1

2 Security Component Bundle Bietet Mechanismen zur Authentifizierung und Authorisierung Was bedeuten die Begriffe? Timon Schroeter 2

3 Security Component Bundle Bietet Mechanismen zur Authentifizierung und Authorisierung Was bedeuten die Begriffe? Authentifizierung klärt wer der Benutzer ist. Timon Schroeter 3

4 Security Component Bundle Bietet Mechanismen zur Authentifizierung und Authorisierung Was bedeuten die Begriffe? Authentifizierung klärt wer der Benutzer ist. Authorisierung klärt, ob der Benutzer das Recht hat, eine bestimmte Aktion auszuführen Timon Schroeter 4

5 Grundbegriffe Encoder: Ein Encoder wird verwendet um Passworte zu hashen und zu vergleichen Timon Schroeter 5

6 Grundbegriffe Encoder: Ein Encoder wird verwendet um Passworte zu hashen und zu vergleichen Provider: Ein Provider stellt User Objekte bereit Timon Schroeter 6

7 Grundbegriffe Encoder: Ein Encoder wird verwendet um Passworte zu hashen und zu vergleichen Provider: Ein Provider stellt User Objekte bereit Firewall: Eine Firewall definiert einen Authentifizierungs-Workflow für einen Teil der Applikation oder auch die ganze Applikation Timon Schroeter 7

8 Grundbegriffe Encoder: Ein Encoder wird verwendet um Passworte zu hashen und zu vergleichen Provider: Ein Provider stellt User Objekte bereit Firewall: Eine Firewall definiert einen Authentifizierungs-Workflow für einen Teil der Applikation oder auch die ganze Applikation Access Control: Access Control Regeln legen Rollen-Anforderungen für bestimmte Teile der Applikation fest. Timon Schroeter 8

9 Encoder Encoder: Ein Encoder wird verwendet um Passworte zu hashen und zu vergleichen namespace Symfony\Component\Security\Core\Encoder; interface PasswordEncoderInterface { function encodepassword($raw, $salt); function ispasswordvalid($encoded, $raw, $salt); } Timon Schroeter 9

10 Encoder konfigurieren # app/config/security.yml security: encoders: Symfony\Component\Security\Core\User\User: plaintext Mvcokg\UserBundle\User: plaintext Sensio\UserBundle\User: sha512 Liip\UserBundle\User: algorithm: sha512 encode_as_base64: true iterations: 5000 Mvcokg\UserBundle\User: id: eigener.encoder.service.id Genau ein(!) Encoder für jeden Provider Timon Schroeter 10

11 Encoder verwenden Ein Passwort hashen $user = new User(); $factory = $this->get('security.encoder_factory'); $encoder = $factory->getencoder($user); $pwd = $encoder->encodepassword('isdiwu9', 'salt'); $user->setpassword($pwd); Ein Passwort vergleichen $encoder->ispasswordvalid('e5e[...]ca5', 'IsdiwU9', 'salt'); Timon Schroeter 11

12 User Provider Ein Provider stellt User Objekte zur Verfügung Timon Schroeter 12

13 Eingebaute User Provider in-memory chain entity propel Timon Schroeter 13

14 Eingebaute User Provider in-memory: Liest Konfigurationsdatei (security.yml) chain entity propel Timon Schroeter 14

15 Eingebaute User Provider in-memory: Liest Konfigurationsdatei (security.yml) chain: Liest nacheinander aus mehreren Providern entity propel Timon Schroeter 15

16 Eingebaute User Provider in-memory: Liest Konfigurationsdatei (security.yml) chain: Liest nacheinander aus mehreren Providern entity: Liest aus einem Doctrine Entity Model propel Timon Schroeter 16

17 Eingebaute User Provider in-memory: Liest Konfigurationsdatei (security.yml) chain: Liest nacheinander aus mehreren Providern entity: Liest aus einem Doctrine Entity Model propel: Liest aus einem Propel Active Record Model Timon Schroeter 17

18 Eingebaute User Provider in-memory: Liest Konfigurationsdatei (security.yml) chain: Liest nacheinander aus mehreren Providern entity: Liest aus einem Doctrine Entity Model propel: Liest aus einem Propel Active Record Model fos_userbundle: Liest aus Doctrine, MongoDB, CouchDB oder Propel Timon Schroeter 18

19 User Provider Interface interface UserProviderInterface { // Loads the user for the given username. function loaduserbyusername($username); // Refreshes the user properties like credentials. function refreshuser(userinterface $user); } // Whether this provider supports the given user class function supportsclass($class); Timon Schroeter 19

20 User im Security Layer User Objekte speichern Zugangsdaten und assoziierte Rollen Timon Schroeter 20

21 User im Security Layer User Objekte speichern Zugangsdaten und assoziierte Rollen Authorisierung Authentifizierung Timon Schroeter 21

22 Das User Interface interface UserInterface { function getroles(); function getpassword(); function getsalt(); function getusername(); function erasecredentials(); } Timon Schroeter 22

23 Das Advanced User Interface interface AdvancedUserInterface extends UserInterface { function isenabled(); function iscredentialsnonexpired(); function isaccountnonlocked(); function isaccountnonexpired(); } Timon Schroeter 23

24 Das Advanced User Interface interface AdvancedUserInterface extends UserInterface { } function isenabled(); function iscredentialsnonexpired(); function isaccountnonlocked(); function isaccountnonexpired(); Die BaseUser Klasse des FOS-Userbundles implementiert dieses Interface! Timon Schroeter 24

25 In Memory Provider # app/config/security.yml security: providers: in_memory: memory: users: timon: { password: sd, roles: ['ROLE_ADMIN' ] } Timon Schroeter 25

26 Doctrine Entity Provider # app/config/security.yml security: providers: in_db: entity: { class: MvcokgErpBundle:User, property: username } Timon Schroeter 26

27 Chain Provider # app/config/security.yml security: providers: chain_provider: chain: providers: [in_memory, in_db] mvcokg_in_memory: memory: users: timon: { password: sd, roles: ['ROLE_ADMIN' ] } mvcokg_in_db: entity: { class: MvcokgErpBundle:User, property: username } Timon Schroeter 27

28 Übermittlung der Zugangsdaten zur Firewall http-basic: HTTP authentication http-digest: HTTP authentication mit clientseitig gehashtem Passwort x.509: Verwendet ein x.509 Zertifikat form-based: Verwendet ein Formular um Benutzername und Passwort abzufragen Timon Schroeter 28

29 Firewall # app/config/security.yml security: #... firewalls: admin: pattern: ^/admin provider: in_memory form_login: check_path: /admin/auth login_path: /login default_target_path: /admin always_use_default_target_path: true Timon Schroeter 29

30 Authentifizierungs Workflow Timon Schroeter 30

31 Authentifizierungs Workflow 1)Timon füllt Login-Formular aus und sendet "timon" + "passwrt" an Login-check Pfad Timon Schroeter 31

32 # app/config/security.yml security: #... firewalls: admin: provider: pattern: form_login: general: Firewall in_memory ^/admin check_path: /admin/check login_path: /login pattern: ^/cms #... Start mit Check Path, Firewall finden, Provider finden Timon Schroeter 32

33 Authentifizierungs Workflow 1)Timon füllt Login-Formular aus und sendet "timon" + "passwrt" an Login-check Pfad 2)Mit der Firewall, in deren Geltungsbereich /login-check liegt, ist genau ein UserProvider verknüpft. Timon Schroeter 33

34 Authentifizierungs Workflow 1)Timon füllt Login-Formular aus und sendet "timon" + "passwrt" an Login-check Pfad 2)Mit der Firewall, in deren Geltungsbereich /login-check liegt, ist genau ein UserProvider verknüpft: $user = $provider->loaduserbyusername("timon") Timon Schroeter 34

35 In Memory Provider # app/config/security.yml security: providers: in_memory: memory: users: timon: { password: passwrt, roles: ['ROLE_ADMIN' ] } Timon Schroeter 35

36 Authentifizierungs Workflow 1)Timon füllt Login-Formular aus und sendet "timon" + "passwrt" an Login-check Pfad 2)Mit der Firewall, in deren Geltungsbereich /login-check liegt, ist genau ein UserProvider verknüpft: $user = $provider->loaduserbyusername("timon") 3)Mit dem UserProvider ist genau ein Encoder verknüpft: Timon Schroeter 36

37 Encoder konfigurieren # app/config/security.yml security: encoders: Symfony\Component\Security\Core\User\User: plaintext Mvcokg\UserBundle\User: plaintext Sensio\UserBundle\User: sha512 Liip\UserBundle\User: algorithm: sha512 encode_as_base64: true iterations: 5000 Mvcokg\UserBundle\User: id: eigener.encoder.service.id memory Provider ist ein Spezialfall, hat immer diese Klasse. Timon Schroeter 37

38 Authentifizierungs Workflow 1)Timon füllt Login-Formular aus und sendet "timon" + "passwrt" an Login-check Pfad 2)Mit der Firewall, in deren Geltungsbereich /login-check liegt, ist genau ein UserProvider verknüpft: $user = $provider->loaduserbyusername("timon") 3)Mit dem UserProvider ist genau ein Encoder verknüpft: $encoder = $factory->getencoder($user) Timon Schroeter 38

39 Authentifizierungs Workflow 1)Timon füllt Login-Formular aus und sendet "timon" + "passwrt" an Login-check Pfad 2)Mit der Firewall, in deren Geltungsbereich /login-check liegt, ist genau ein UserProvider verknüpft: $user = $provider->loaduserbyusername("timon") 3)Mit dem UserProvider ist genau ein Encoder verknüpft: $encoder = $factory->getencoder($user) 4)Mit dem Encoder prüft die Firewall das Passwort $encoder->ispasswordvalid("hash","passwrt","salt") Timon Schroeter 39

40 Authentifizierungs Workflow 1)Timon füllt Login-Formular aus und sendet "timon" + "passwrt" an Login-check Pfad 2)Mit der Firewall, in deren Geltungsbereich /login-check liegt, ist genau ein UserProvider verknüpft: $user = $provider->loaduserbyusername("timon") 3)Mit dem UserProvider ist genau ein Encoder verknüpft: $encoder = $factory->getencoder($user) 4)Mit dem Encoder prüft die Firewall das Passwort $encoder->ispasswordvalid("hash","passwrt","salt") 5)Passwort korrekt. Weiterleitung entspr. Firewall Config: Timon Schroeter 40

41 Firewall # app/config/security.yml security: #... firewalls: admin: pattern: ^/admin provider: in_memory form_login: check_path: /admin/check login_path: /login default_target_path: /admin always_use_default_target_path: true Timon Schroeter 41

42 Authentifizierungs Workflow 1)Timon füllt Login-Formular aus und sendet "timon" + "passwrt" an Login-check Pfad 2)Mit der Firewall, in deren Geltungsbereich /login-check liegt, ist genau ein UserProvider verknüpft: $user = $provider->loaduserbyusername("timon") 3)Mit dem UserProvider ist genau ein Encoder verknüpft: $encoder = $factory->getencoder($user) 4)Mit dem Encoder prüft die Firewall das Passwort $encoder->ispasswordvalid("passwrt") 5)Passwort korrekt. Weiterleitung. Ziel Erreicht. Timon Schroeter 42

43 Authentifizierungs Workflow 1)Timon füllt Login-Formular aus und sendet "timon" + "passwrt" an Login-check Pfad 2)Mit der Firewall, in deren Geltungsbereich /login-check liegt, ist genau ein UserProvider verknüpft: $user = $provider->loaduserbyusername("timon") Damit der Benutzer auf diesen Pfad im Bereich der Firewall zugreifen kann gibt es $encoder = $factory->getencoder($user) IS_AUTHENTICATED_ANONYMOUSLY Andere Pfade fordern höhere Rollen. 3)Mit dem UserProvider ist genau ein Encoder verknüpft: 4)Mit dem Encoder prüft die Firewall das Passwort $encoder->ispasswordvalid("passwrt") 5)Passwort korrekt. Weiterleitung. Ziel Erreicht. Timon Schroeter 43

44 Rollenhierarchie # app/config/security.yml security: role_hierarchy: ROLE_ADMIN: ROLE_USER ROLE_TRAINER: ROLE_USER ROLE_SUPERADMIN: - ROLE_USER - ROLE_ADMIN - ROLE_ALLOWED_TO_SWITCH Timon Schroeter 44

45 Access Control Access Control Regeln legen Rollen- Anforderungen (und ggf. weitere Anforderungen) für bestimmte Teile der Applikation fest. # app/config/security.yml security: access_control: - { path: ^/login, roles: IS_AUTHENTICATED_ANONYMOUSLY} - { path: ^/admin, roles: [ROLE_ADMIN, ROLE_MANAGER] } - { path: ^/, roles: ROLE_USER} Timon Schroeter 45

46 Access Control Access Control Regeln legen Rollen- Anforderungen (und ggf. weitere Anforderungen) für bestimmte Teile der Applikation fest. # app/config/security.yml security: access_control: - { path: ^/login, roles: IS_AUTHENTICATED_ANONYMOUSLY} - path: ^/admin roles: [ROLE_ADMIN, ROLE_MANAGER] - path: ^/ roles: ROLE_USER Timon Schroeter 46

47 Access Control # app/config/security.yml security: access_control: - { path: ^/login, roles: IS_AUTHENTICATED_ANONYMOUSLY} - path: ^/admin roles: [ROLE_ADMIN, ROLE_MANAGER] - path: ^/ roles: ROLE_USER Timon Schroeter 47

48 Access Control # app/config/security.yml security: access_control: - { path: ^/login, roles: IS_AUTHENTICATED_ANONYMOUSLY} - path: ^/admin roles: [ROLE_ADMIN, ROLE_MANAGER] - path: ^/ roles: ROLE_USER Timon Schroeter 48

49 Access Control # app/config/security.yml security: access_control: - { path: ^/login, roles: IS_AUTHENTICATED_ANONYMOUSLY} - path: ^/admin ip: /8 roles: [ROLE_ADMIN, ROLE_MANAGER] - path: ^/admin - roles: ROLE_ADMIN requires_channel: https path: ^/ roles: ROLE_USER Timon Schroeter 49

50 Rollenbasiert agieren: Controller public function editaction($id) { $securitycontext = $this->get('security.context'); if (!$securitycontext->isgranted('role_admin') { throw new AccessDeniedException([...]); } // Zugriff gewährt... } Timon Schroeter 50

51 Rollenbasiert agieren: Twig {% if is_granted("role_admin") %} <a href="...">delete</a> {% endif %} Timon Schroeter 51

52 Benutzer ermitteln Benutzer abfragen im Controller $context = $this->get('security.context'); $name = $context->gettoken()->getusername(); Benutzer abfragen im Twig Template {{ app.user.username }} Timon Schroeter 52

53 Vielen Dank für Eure Aufmerksamkeit! Timon Schroeter 53

54 Fragen? Ideen, Wünsche, Anmerkungen? Timon Schroeter 54