Symfony2 http_basic de sécurité rejette des informations d'identification valides

J'utilise Symfony Standard 2.0.0BETA1 et a essayé de configurer http_basic authentification exactement le même que dans ce chapitre de livre

security:
encoders:
    Symfony\Component\Security\Core\User\User: plaintext

providers:
    main:
        users:
            foo: { password: testing, roles: ROLE_USER }

firewalls:
    main:
        pattern:    /.*
        http_basic: true
        logout:     true

access_control:
    - { path: /.*, role: ROLE_USER }

Problème, c'est quand j'essaye d'ouvrir une page et je soumettre le nom d'utilisateur "toto" et le mot de passe "test" il simplement des boucles et pour me demander des informations d'identification à l'infini ou de l'erreur d'affichage de la page.

Étapes pour reproduire le problème:

  1. Copie de la configuration de sécurité de http://symfony.com/doc/current/book/security/overview.html#configuration et passé à la sécurité.fichier yml
  2. De rafraîchissement de la page d'accueil de l'application
  3. Entrer des informations d'identification valides

Comportement attendu est à voir en page d'accueil, mais plutôt des informations d'identification de l'invite est affichée.

Personne ne sait pourquoi cela arrive et comment le résoudre?

OriginalL'auteur sbgoran | 2011-05-13

  1. 7

    L'authentification http de base est rompu avec PHP comme cgi/fastCGI sous Apache

    Il y a une solution:

    app_dev.php

    if( !isset($_SERVER['PHP_AUTH_USER']) )
{
    if (isset($_SERVER['HTTP_AUTHORIZATION']) && (strlen($_SERVER['HTTP_AUTHORIZATION']) > 0))
    {
        list($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']) = explode(':', base64_decode(substr($_SERVER['HTTP_AUTHORIZATION'], 6)));
        if( strlen($_SERVER['PHP_AUTH_USER']) == 0 || strlen($_SERVER['PHP_AUTH_PW']) == 0 )
        {
            unset($_SERVER['PHP_AUTH_USER']);
            unset($_SERVER['PHP_AUTH_PW']);
        }
    }
}

    web/.htaccess

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L] 
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteRule ^(.*)$ app.php [QSA,L]
</IfModule>

    Source: symfony problème

    OriginalL'auteur Teo.sk

  2. 7

    Le problème est que vous restreint l'accès à /.*, ce qui signifie que tous les chemins, seuls les utilisateurs ayant le rôle ROLE_USER.

    Dire votre login chemin est /login, l'utilisateur tente d'accéder à un tout autre chemin et est redirigé vers la de login chemin. Le chemin de connexion (/login) sera compensée par le contrôle d'accès modèle /.*. L'utilisateur sera alors refusé l'accès car il n'a pas le rôle ROLE_USER droit maintenant. Le composant de sécurité va rediriger l'utilisateur vers le formulaire de connexion de sorte qu'il peut s'authentifier pour obtenir le rôle, qui est limité, et redirige l'utilisateur vers le formulaire de connexion pour authentifier et ainsi de suite.

    Voici une solution simple pour éviter ce problème. Vous pouvez autoriser l'accès au formulaire de connexion à l'utilisateur anonyme avec l'activation de la configuration utilisateur anonyme et un nouvel élément de contrôle d'accès. Ajouter cette ci-dessous main dans le firewalls de configuration pour permettre à l'utilisateur anonyme:

    security:
    firewalls:
        main:
            anonymous: true

    Et ajouter un nouvel élément de contrôle d'accès pour permettre à l'utilisateur anonyme pour accéder au /login modèle:

    access_control:
    - { path: /login, role: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: /.*, role: ROLE_USER }

    L'ordre est important ici puisque la règle est la suivante: premier chemin appariés gagne. Ainsi, le /login chemin d'accès doit être au-dessus de votre modèle pour d'autres le chemin /.*. Cela devrait se résout vous rediriger boucle.

    La documentation de Symfony au sujet de la sécurité est en train d'être réécrit en ce moment et parler plus en détails sur ce problème. C'est dans le symfony-docs github sous la sécurité branche.

    Ce qui concerne,
    Matt

    OK, je comprends votre point, mais je suis en train d'utiliser l'adresse HTTP de base, donc pas de coutume formulaires de connexion, le navigateur doit afficher automatiquement les informations d'identification de forme (ou, en standard, j'ai pu accéder à mon application en définissant simplement en-têtes appropriés, quelque chose comme Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==)
    +1 c'est me rend fou, je suis en utilisant 2.1, les docs ne rien dire à ce sujet.

    OriginalL'auteur Matt

  3. 7

    Le même problème se produit toujours dans la version actuelle (version de Symfony 2.1.8).

    C'est à cause de la façon particulière que Apache + PHP en FastCGI poignées HTTP auth variables.

    Au moins, le correctif pour la version actuelle est un peu plus simple qu'elle ne l'était avant (par rapport à @Teo.sk réponse), et les instructions sont disponibles directement codé en dur comme des commentaires dans le fichier vendor/symfony/symfony/src/Symfony/Component/HttpFoundation/ServerBag.php du cadre:

    /*
* php-cgi under Apache does not pass HTTP Basic user/pass to PHP by default
* For this workaround to work, add these lines to your .htaccess file:
* RewriteCond %{HTTP:Authorization} ^(.+)$
* RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
*
* A sample .htaccess file:
* RewriteEngine On
* RewriteCond %{HTTP:Authorization} ^(.+)$
* RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
* RewriteCond %{REQUEST_FILENAME} !-f
* RewriteRule ^(.*)$ app.php [QSA,L]
*/

    En bref, pour le fixer, tout ce que vous avez à faire est d'ajouter les lignes suivantes à la .htaccess fichier de la web/ dossier de votre demande:

    RewriteCond %{HTTP:Authorization} ^(.+)$
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]

    De nouvelles infos (2013-05-01): maintenant, je suis en utilisant Symfony version 2.2.1 et pour la correction du travail que j'ai dû ajouter ces deux lignes de codes ci-dessous à droite de la ligne suivante de web/.htaccess:

    RewriteEngine On
    C'est exactement qu'est-ce résolu mon problème. J'ai déjà trouvé le RewriteRule quelque part d'autre sur stackoverflow mais il ne fonctionne qu'après j'ai ajouté le RewriteCond. Merci!
    la plus courte et la plus à jour de la solution ici.

    OriginalL'auteur pagliuca

  4. 1

    vous ne pas besoin de modifier votre SymfonyProject, vous devez également changer de configuration apache2.

    sudoedit /etc/apache2/sites-enabled/[votre site].conf

    insérer

    <IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L] 
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ app.php [QSA,L]

    garder redémarrer apache2

    profiter 🙂

    OriginalL'auteur Massimo212121

  5. 0

    - je utiliser mon boundle route:

     - { path: /correspondencia/recepcion/login, role: IS_AUTHENTICATED_ANONYMOUSLY }
 - { path: /correspondencia/recepcion, role: ROLE_ADMIN }

    sans le dernier slash
    mal

    /correspondencia/recepcion/

    bonne

    /correspondencia/recepcion

    OriginalL'auteur montblack