如何在 Symfony 2.7 中关闭用户的所有会话？

Question

用户更改密码后（在恢复密码操作中），我需要使连接到该用户的所有会话无效（他可能在多个浏览器/设备上登录）。因此，在我用新密码将用户保存在数据库中之后，我需要关闭该用户在不同浏览器/设备中可能处于活动状态的所有会话。我试过这个：

$token = new UsernamePasswordToken($user, null, 'main', $user->getRoles());
$this->get('security.token_storage')->setToken($token);

也试过了：

$this->get('security.token_storage')->getToken()->setAuthenticated(false);

还有这个：

$this->get('security.token_storage')->setToken(null);

提前致谢！

我已将此添加到我的用户类中：

class User implements UserInterface, EquatableInterface, \Serializable{
  // properties and other methods

  public function isEqualTo(UserInterface $user){
    if ($user->getPassword() !== $this->getPassword()){
        return false;
    }
    if ($user->getEmail() !== $this->getEmail()){
        return false;
    }
    if ($user->getRoles() !== $this->getRoles()){
        return false;
    }
    return true;
  }


  /** @see \Serializable::serialize() */
  public function serialize()
  {
    return serialize(array(
        $this->id,
        $this->email,
        $this->password,
        // see section on salt below
        // $this->salt,
    ));
  }

  /** @see \Serializable::unserialize() */
  public function unserialize($serialized)
  {
    list (
        $this->id,
        $this->email,
        $this->password,
        // see section on salt below
        // $this->salt
    ) = unserialize($serialized);
  }
}

Answer 1

您需要跟踪该用户打开的每个会话。由于他可能在多个浏览器/设备上登录，因此他可能会使用不同的会话。

一个简单的方法是将会话ID的引用与用户ID一起保存，这样您就可以获得用户的所有sessid。

namespace AppBundle\Security;

use Symfony\Component\EventDispatcher\EventSubscriberInterface;
use Symfony\Component\Security\Http\Event\InteractiveLoginEvent;
use Symfony\Component\Security\Http\SecurityEvents;

class LoginListener implements EventSubscriberInterface
{
    public static function getSubscribedEvents()
    {
        return array(
            SecurityEvents::INTERACTIVE_LOGIN => 'onSecurityInteractiveLogin',
        );
    }

    public function onSecurityInteractiveLogin(InteractiveLoginEvent $event)
    {
        $user = $event->getAuthenticationToken()->getUser();
        $session = $event->getRequest()->getSession();

        /*
         * Save $user->getId() and $session->getId() somewhere
         * or update it if already exists.
         */
    }
}

然后注册一个security.interactive_login 事件，每次用户登录时都会触发该事件。然后您可以注册监听器

<service id="app_bundle.security.login_listener" class="AppBundle\Security\LoginListener.php">
    <tag name="kernel.event_subscriber" />
</service> 

之后，当您想撤销用户的所有会话时，您需要做的就是检索该用户的所有会话 ID，循环并使用

销毁它们

$session = new Session();
$session->setId($sessid);
$session->start();
$session->invalidate();

Answer 2

Sebcar，

这是 Symfony 安全本身的一个错误： Bug explanation to be review First Bug

所以你必须重写抽象令牌

Answer 3

根据默认设置中的documentation，您应该已经发生了。

例如，如果 2 个用户对象上的用户名由于某种原因不匹配，则出于安全原因，该用户将被注销。 (...) Symfony 还使用用户名、salt 和密码来验证用户在请求之间没有更改

我不知道您的用户是如何配置的，但您可能需要实现EquatableInterface

Answer 4

试试$session->clear();

查看documentation