【发布时间】:2015-03-05 16:35:36
【问题描述】:
我正在开发一个包含会员区和用户级别的网站。管理员成员可以访问他们可以查看、添加和更改一些敏感数据的区域。
为了在这组页面上添加保护层,我想在访问限制区域主页之前询问用户的登录名和密码,即使他们已经登录。
我该怎么做?在 symfony 文档中,我没有找到关于用户第二次身份验证的任何信息。
【问题讨论】:
标签: php security symfony authentication
我正在开发一个包含会员区和用户级别的网站。管理员成员可以访问他们可以查看、添加和更改一些敏感数据的区域。
为了在这组页面上添加保护层,我想在访问限制区域主页之前询问用户的登录名和密码,即使他们已经登录。
我该怎么做?在 symfony 文档中,我没有找到关于用户第二次身份验证的任何信息。
【问题讨论】:
标签: php security symfony authentication
您在这里寻找的是 IS_AUTHENTICATED_REMEMBERED 与 IS_AUTHENTICATED_FULLY。如果您有记住我的功能,您可以将会话设置为在 30 分钟到一小时(或您认为可以的任何时间间隔)后到期被要求登录,如果他们访问任何带有较低栏的地方(例如经过身份验证记住),他们仍然会显示为已登录。这基本上是亚马逊在您尝试访问用户设置页面时所做的事情。确定您已登录并且可以将东西添加到您的购物车,但是一旦您尝试访问您的敏感数据,您必须重新登录。
【讨论】:
我会避免第二次身份验证...我最好使用限制层(用户角色)...FOSUserBundle 已经提供了所有需要的功能
【讨论】:
autocomplete="off",浏览器不应预填表单