如何在有限的时间内验证/授权匿名用户？

Question

假设我有一个发票实体。发票属于某个用户 (invoices.user_id)。

如果用户输入myapp.com/invoices/1，他需要登录才能访问他的发票。这很正常。

有时invoices.user_id 为空（发票所有者在我们的系统中没有帐户），但我们有一个invoices.phone_number 列。

我们的目标是为没有我们系统帐户的用户创建一个基于 SMS 代码验证的身份验证系统。如果用户确认他确实拥有与发票相关的电话号码（代码验证），我想授予他临时访问（15 分钟）此发票详细信息页面（并且仅此页面）的权限。

我的第一个想法是使用存储在会话中的 JWT 令牌。

我的第二个想法是使用自定义防火墙。

有没有更好的方法？

Answer 1

创建一个kernel.requestlistener。这样您就可以在执行任何操作之前采取行动，并且整个应用程序都不会注意到用户可以随时注销这一事实。

调用将验证令牌的“服务”。如果令牌无效，请清除身份验证状态并覆盖请求。例如，将用户重定向到“您需要再次付款”页面。

这样你不需要修改任何代码，执行任何投票者等等，你的整个应用程序都可以得到保护。

至于身份验证本身，请选择custom guard，您可以在其中完全控制身份验证过程的工作方式。

Answer 2

您可以使用以下操作对虚拟用户进行身份验证 15 分钟：

use Symfony\Component\Security\Core\Authentication\Token\UsernamePasswordToken;
use Symfony\Component\Security\Http\Event\InteractiveLoginEvent;

public function indexAction(Request $request)
{
    $em = $this->getDoctrine()->getManager();

    /**
     * confirm that the user indeed owns 
     * phone number related to the invoice (code verification)
     */

    //create a user for this task only and fetch it
    $user = $em->getRepository(User::class)->find(1);

    //firewall name used for authentication in security.yml
    $firewall = "main_secured_area";

    $token = new UsernamePasswordToken($user, null, $firewall, $user->getRoles());
    $this->get('security.token_storage')->setToken($token);
    $this->get('session')->set("_security_$firewall", serialize($token));

    //$lifetime takes number of seconds to define session timeout 15min = 900sec
    $this->container->get('session')->migrate($destroy = false, $lifetime = 900);

    //fire the login event manually
    $event = new InteractiveLoginEvent($request, $token);
    $this->get("event_dispatcher")->dispatch("security.interactive_login", $event);

    return $this->render('default/index.html.twig');
}