somemo programming etc.

プログラマ、雑記、プログラミング関係はLinkから、数式はこっちでまとめていることが多い

【symfony】sfBasicSecurityFilterとフィルターの拡張【1.0】

symfony1.0のFilter関連についてのメモです。今回は、sfBasicSecurityFilterについてです。

sfBasicSecurityFilter

sfBasicSecurityFilterとは、app/frontend/config/filters.ymlのsecurityに割り当てられているセキュリティ関連の処理を行うクラスです。以下コードです。

class sfBasicSecurityFilter extends sfSecurityFilter
{
  /**
   * Executes this filter.
   *
   * @param sfFilterChain A sfFilterChain instance
   */
  public function execute($filterChain)
  {
    // get the cool stuff
    $context    = $this->getContext();
    $controller = $context->getController();
    $user       = $context->getUser();

    // get the current action instance
    $actionEntry    = $controller->getActionStack()->getLastEntry();
    $actionInstance = $actionEntry->getActionInstance();

    // disable security on [sf_login_module] / [sf_login_action]
    if (
      (sfConfig::get('sf_login_module') == $context->getModuleName()) && (sfConfig::get('sf_login_action') == $context->getActionName())
      ||
      (sfConfig::get('sf_secure_module') == $context->getModuleName()) && (sfConfig::get('sf_secure_action') == $context->getActionName())
    )
    {
      $filterChain->execute();

      return;
    }

    // get the credential required for this action
    $credential = $actionInstance->getCredential();

    // for this filter, the credentials are a simple privilege array
    // where the first index is the privilege name and the second index
    // is the privilege namespace
    //
    // NOTE: the nice thing about the Action class is that getCredential()
    //       is vague enough to describe any level of security and can be
    //       used to retrieve such data and should never have to be altered
    if ($user->isAuthenticated())
    {
      // the user is authenticated
      if ($credential === null || $user->hasCredential($credential))
      {
        // the user has access, continue
        $filterChain->execute();
      }
      else
      {
        // the user doesn't have access, exit stage left
        $controller->forward(sfConfig::get('sf_secure_module'), sfConfig::get('sf_secure_action'));

        throw new sfStopException();
      }
    }
    else
    {
      // the user is not authenticated
      $controller->forward(sfConfig::get('sf_login_module'), sfConfig::get('sf_login_action'));

      throw new sfStopException();
    }
  }
}

対象外のモジュールとアクション

処理対象外のモジュールとアクションがあります。これらは、app/frontend/config/settings.ymlに記載されている下記の値です。

all:
  .actions:
    login_module:           login     # To be called when a non-authenticated user
    login_action:           Index     # Tries to access a secure page

    secure_module:          default   # To be called when a user doesn't have
    secure_action:          secure    # The credentials required for an action

認証状態のチェック

myUserクラスのisAuthenticated()の戻り値で判断します。定義していない場合の動作は、詳しく分かっていないです。セッションが切れている場合は認証されていないと扱われます。

credential(資格)のチェック

認証状態のチェックが終了した後は、credential(資格)のチェックをします。資格とは、アクションを実行するための資格です。

アクションに対する資格は、モジュールごとのsecurity.ymlに記載するようです。ユーザの資格は、myUserクラスのaddCredential(s)を使用して追加します。

アクションに対する資格が必要ない時、またはユーザがアクションに対する資格をもっているときチェックが通り、次のフィルター処理に移ります。

sfBasicSecurityFilterの拡張

フィルターの処理を独自の処理に置き換えたい場合、まずapp/frontend/config/filters.ymlのsecurityに割り当てられているクラスを変更します。

security: ~
  class: クラス名

自分の場合、クラスは、app/frontend/libに格納していますが他の方がいい感じがします。以下、クラスの拡張例です。

class クラス名  extends sfBasicSecurityFilter {
  public function execute ($filterChain) {
    // 処理
    // …

    // sfBasicSecurityFilterクラスに認証を任せる
    parent::execute($filterChain);
  }
}

他のフィルタークラスも同様に変更することができます。

参考