فرادرساحراز هویت کاربران در PHP با سیمفونی (Symfony) — راهنمای کاربردی
در این مقاله با روش راهاندازی احراز هویت کاربران در PHP با استفاده از کامپوننت امنیت سیمفونی آشنا خواهیم شد. سیمفونی یک فریمورک PHP برای توسعه وب با عملکرد بالا است. در این مقاله علاوه بر روش احراز هویت، با چگونگی مجوزدهی مبتنی بر نقش نیز آشنا میشویم که در عمل میتوانید بر اساس نیازهای خود آن را بسط دهید.
کامپوننت امنیت سیمفونی
کامپوننت امنیت سیمفونی امکان راهاندازی برخی امکانات امنیتی مانند احراز هویت، مجوزدهی مبتنی بر نقش، توکنهای CSRF و موارد دیگر را به آسانی فراهم میسازد. در واقع این کامپوننت، خود به چهار کامپوننت فرعی تقسیم میشود که میتوانید بر حسب نیاز از هر کدام آنها استفاده کنید.
کامپوننت امنیت چهار کامپوننت فرعی زیر را دارد:
- symfony/security-core
- symfony/security-http
- symfony/security-csrf
- symfony/security-ac
در این مقاله، قصد داریم به بررسی امکان احراز هویت ارائه شده از سوی کامپوننت symfony/security-core بپردازیم. به طور معمول کار خود را با دستورالعملهای نصب و پیکربندی آغاز میکنیم و سپس به بررسی نمونههای عملی از این کامپوننت، جهت نمایش مفاهیم کلیدی ادامه میدهیم.
نصب و پیکربندی
در این بخش قصد داریم کامپوننت امنیت سیمفونی را نصب کنیم. ما تصور میکنیم که شما قبلاً Composer را روی سیستم خود نصب کردهاید، چون آن را برای نصب کامپوننت امنیت که در Packagist قرار دارد نیاز داریم.
بنابراین پیشتر میرویم و کامپوننت امنیت را با استفاده از دستور زیر نصب میکنیم:
$composer require symfony/security
ما قصد داریم کاربران را از پایگاه داده MySQL در مثال خود بارگذاری کنیم و از این رو باید یک لایه انتزاع برای پایگاه داده داشته باشیم. بنابراین در ادامه یکی از محبوبترین لایههای انتزاع پایگاه داده یعنی Doctrine DBAL را نصب میکنیم:
$composer require doctrine/dbal
بدین ترتیب فایلی به نام composer.json ایجاد میشود که مانند زیر است:
1{
2 "require": {
3 "symfony/security": "^4.1",
4 "doctrine/dbal": "^2.7"
5 }
6}در ادامه اقدام به تغییر دادن فایل composer.json میکنیم تا به حالت زیر دربیاید:
1{
2 "require": {
3 "symfony/security": "^4.1",
4 "doctrine/dbal": "^2.7"
5 },
6 "autoload": {
7 "psr-4": {
8 "Sfauth\\": "src"
9 },
10 "classmap": ["src"]
11 }
12}از آنجا که اینک مدخل classmap را اضافه کردهایم، میتوانیم بارگذار خودکار کامپوزر را با اجرای دستور زیر بهروزرسانی کنیم:
$composer dump -o
اینک میتوانیم از فضای نام sfauth برای بارگذاری خودکار کلاسهای موجود در دایرکتوری src استفاده کنیم.
بدین ترتیب بخش نصب به پایان میرسد. برای استفاده از این کامپوننت کافی است که فایل autoload.php ایجاد شده از سوی کامپوزر که در اپلیکیشن خود ایجاد کردهایم را به صورتی که در قطعه کد زیر میبینید include کنیم:
1<?php
2require_once './vendor/autoload.php';
3
4// application code
5?>مثالی از دنیای واقعی
در ابتدا به بررسی گردش کار احراز هویت معمول ارائه شده از سوی کامپوننت امنیت سیمفونی میپردازیم.
- نخستین کاری که باید انجام داد، بازنویسی اطلاعات امنیتی کاربر و ایجاد یک توکن غیر احراز شده است.
- سپس یک توکن احراز نشده را به بخش مدیریت احراز هویت میفرستیم تا اعتبارسنجی شود.
- مدیریت احراز هویت میتواند شامل ارائهدهندگان مختلف احراز هویت باشد و یکی از آنها برای احراز هویت درخواست کاربر جاری استفاده میشود. منطق چگونگی احراز هویت کاربر در «ارائهدهنده احراز هویت» (Authnication Provider) تعریف شده است.
- ارائهدهنده احراز هویت با ارائهدهنده کاربر تماس میگیرد و کاربر را بازیابی میکند. بارگذاری کاربران از بکاند مربوطه در حوزه وظایف بخش ارائهدهنده کاربر است.
- بخش ارائهدهنده کاربر تلاش میکند که کاربر را با استفاده از اطلاعات ارائه شده از سوی ارائهدهنده احراز هویت بارگذاری کند. در اغلب موارد ارائهدهنده کاربر، شیء کاربر را که به پیادهسازی رابط UserInterface میپردازد بازگشت میدهد.
- اگر کاربر پیدا شود، ارائهدهنده احراز هویت یک توکن احراز نشده بازگشت میدهد و میتوانید این توکن را برای درخواستهای بعدی ذخیره کنید.
در این مثال ما قصد داریم اطلاعات کاربر را با پایگاه داده MySQL مقایسه کنیم و از این رو باید یک پایگاه داده ارائهدهنده کاربر را ایجاد کنیم. همچنین باید پایگاه داده ارائهدهنده احراز هویت را نیز ایجاد کنیم تا بتواند منطق احراز هویت را مدیریت کند. در نهایت کلاس «کاربر» (User) را ایجاد میکنیم که به پیادهسازی رابط UserInterface میپردازد.
کلاس User
در این بخش، کلاس User را ایجاد میکنیم که نهاد کاربر را در فرایند احراز هویت نمایندگی میکند. بدین منظور باید در ادامه فایل src/User/User.php را با محتوای زیر ایجاد کنیم:
1<?php
2namespace Sfauth\User;
3
4use Symfony\Component\Security\Core\User\UserInterface;
5
6class User implements UserInterface
7{
8 private $username;
9 private $password;
10 private $roles;
11
12 public function __construct(string $username, string $password, string $roles)
13 {
14 if (empty($username))
15 {
16 throw new \InvalidArgumentException('No username provided.');
17 }
18
19 $this->username = $username;
20 $this->password = $password;
21 $this->roles = $roles;
22 }
23
24 public function getUsername()
25 {
26 return $this->username;
27 }
28
29 public function getPassword()
30 {
31 return $this->password;
32 }
33
34 public function getRoles()
35 {
36 return explode(",", $this->roles);
37 }
38
39 public function getSalt()
40 {
41 return '';
42 }
43
44 public function eraseCredentials() {}
45}نکته مهم این است که کلاس User باید به پیادهسازی اینترفیس UserInterface در کامپوننت امنیت سیمفونی بپردازد. به جز آن هیچ چیز نامعمولی در این بخش وجود ندارد.
کلاس ارائهدهنده پایگاه داده
بارگذاری کاربران از بکاند در حیطه وظایف ارائهدهنده کاربر است. در این بخش یک پایگاه داده ارائهدهنده کاربر میسازیم که کاربر را از پایگاه داده MySQL بارگذاری میکند:
1<?php
2namespace Sfauth\User;
3
4use Symfony\Component\Security\Core\User\UserProviderInterface;
5use Symfony\Component\Security\Core\User\UserInterface;
6use Symfony\Component\Security\Core\Exception\UsernameNotFoundException;
7use Symfony\Component\Security\Core\Exception\UnsupportedUserException;
8use Doctrine\DBAL\Connection;
9use Sfauth\User\User;
10
11class DatabaseUserProvider implements UserProviderInterface
12{
13 private $connection;
14
15 public function __construct(Connection $connection)
16 {
17 $this->connection = $connection;
18 }
19
20 public function loadUserByUsername($username)
21 {
22 return $this->getUser($username);
23 }
24
25 private function getUser($username)
26 {
27 $sql = "SELECT * FROM sf_users WHERE username = :name";
28 $stmt = $this->connection->prepare($sql);
29 $stmt->bindValue("name", $username);
30 $stmt->execute();
31 $row = $stmt->fetch();
32
33 if (!$row['username'])
34 {
35 $exception = new UsernameNotFoundException(sprintf('Username "%s" not found in the database.', $row['username']));
36 $exception->setUsername($username);
37 throw $exception;
38 }
39 else
40 {
41 return new User($row['username'], $row['password'], $row['roles']);
42 }
43 }
44
45 public function refreshUser(UserInterface $user)
46 {
47 if (!$user instanceof User)
48 {
49 throw new UnsupportedUserException(sprintf('Instances of "%s" are not supported.', get_class($user)));
50 }
51
52 return $this->getUser($user->getUsername());
53 }
54
55 public function supportsClass($class)
56 {
57 return 'Sfauth\User\User' === $class;
58 }
59}ارائهدهنده کاربر باید اینترفیس UserProviderInterface را پیادهسازی کند. ما از دکترین DBAL برای اجرای عملیات مرتبط با پایگاه داده استفاده میکنیم. از آنجا که ما اینترفیس UserProviderInterface را پیادهسازی کردهایم، باید متدهای loadUserByUsername، refreshUser و supportsClass را نیز پیادهسازی کنیم.
متد loadUserByUsername باید کاربر را بر اساس «نام کاربری» (username) وی بارگذاری کند و این کار در متد getUser صورت میگیرد. اگر کاربر پیدا شود، شیء Sfauth\User\User متناظر را بازگشت میدهیم که اینترفیس UserInterface را پیادهسازی میکند. از سوی دیگر، متد refreshUser اقدام به تازهسازی شیء User ارائه شده از طریق واکشی جدیدترین اطلاعات از پایگاه داده میکند.
در نهایت متد supportsClass بررسی میکند که آیا ارائهدهنده DatabaseUserProvider از کلاس کاربر ارائه شده پشتیبانی میکند یا نه.
کلاس پایگاه داده ارائهدهنده احراز هویت
در نهایت ما باید ارائهدهنده احراز هویت کاربر را که به تعریف منطق احراز هویت، یعنی چگونگی احراز شدن هویت کاربر میپردازد، پیادهسازی کنیم. در مورد مثال خودمان، باید اطلاعات کاربر را با پایگاه داده MySQL مطابقت دهیم و از این رو باید منطق احراز هویت را نیز بر همین مبنا تعریف کنیم.
بدین ترتیب در ادامه فایل src/User/DatabaseAuthenticationProvider.php را با محتوای زیر ایجاد میکنیم:
1<?php
2namespace Sfauth\User;
3
4use Symfony\Component\Security\Core\Authentication\Provider\UserAuthenticationProvider;
5use Symfony\Component\Security\Core\User\UserProviderInterface;
6use Symfony\Component\Security\Core\User\UserCheckerInterface;
7use Symfony\Component\Security\Core\Exception\UsernameNotFoundException;
8use Symfony\Component\Security\Core\Exception\AuthenticationServiceException;
9use Symfony\Component\Security\Core\Authentication\Token\UsernamePasswordToken;
10use Symfony\Component\Security\Core\User\UserInterface;
11use Symfony\Component\Security\Core\Exception\AuthenticationException;
12
13class DatabaseAuthenticationProvider extends UserAuthenticationProvider
14{
15 private $userProvider;
16
17 public function __construct(UserProviderInterface $userProvider, UserCheckerInterface $userChecker, string $providerKey, bool $hideUserNotFoundExceptions = true)
18 {
19 parent::__construct($userChecker, $providerKey, $hideUserNotFoundExceptions);
20
21 $this->userProvider = $userProvider;
22 }
23
24 protected function retrieveUser($username, UsernamePasswordToken $token)
25 {
26 $user = $token->getUser();
27
28 if ($user instanceof UserInterface)
29 {
30 return $user;
31 }
32
33 try {
34 $user = $this->userProvider->loadUserByUsername($username);
35
36 if (!$user instanceof UserInterface)
37 {
38 throw new AuthenticationServiceException('The user provider must return a UserInterface object.');
39 }
40
41 return $user;
42 } catch (UsernameNotFoundException $e) {
43 $e->setUsername($username);
44
45 throw $e;
46 } catch (\Exception $e) {
47 $e = new AuthenticationServiceException($e->getMessage(), 0, $e);
48 $e->setToken($token);
49 throw $e;
50 }
51 }
52
53 protected function checkAuthentication(UserInterface $user, UsernamePasswordToken $token)
54 {
55 $currentUser = $token->getUser();
56
57 if ($currentUser instanceof UserInterface)
58 {
59 if ($currentUser->getPassword() !== $user->getPassword())
60 {
61 throw new AuthenticationException('Credentials were changed from another session.');
62 }
63 }
64 else
65 {
66 $password = $token->getCredentials();
67
68 if (empty($password))
69 {
70 throw new AuthenticationException('Password can not be empty.');
71 }
72
73 if ($user->getPassword() != md5($password))
74 {
75 throw new AuthenticationException('Password is invalid.');
76 }
77 }
78 }
79}ارائهدهنده احراز هویت با نام DatabaseAuthenticationProvider به بسط کلاس مجرد UserAuthenticationProvider میپردازد. از این رو باید متدهای مجرد retrieveUser و checkAuthentication را نیز پیادهسازی کنیم.
وظیفه متد retrieveUser بارگذاری کاربر از ارائهدهنده کاربر متناظر است. در مورد مثال ما، این متد از ارائهدهنده کاربر DatabaseUserProvider برای بارگذاری کاربر از پایگاه داده MySQL استفاده خواهد کرد.
از سوی دیگر، متد checkAuthentication بررسیهای مورد نیاز را برای احراز هویت کاربر جاری اجرا میکند. دقت کنید که ما از متد MD5 برای رمزنگاری رمزعبور استفاده کردهایم. البته شما باید از متدهای رمزنگاری امنتر برای ذخیرهسازی رمزهای عبور کاربر استفاده کنید.
جمعبندی طرز کار کد
تا به اینجا ما همه عناصر مورد نیاز برای احراز هویت را ایجاد کردهایم. در این بخش خواهیم دید که چگونه همه این عناصر در کنار هم قرار میگیرند تا کارکرد احراز هویت کاربر راهاندازی شود. در ادامه فایل db_auth.php را ایجاد کرده و آن را با محتوای زیر بهروزرسانی کنید:
1<?php
2require_once './vendor/autoload.php';
3
4use Sfauth\User\DatabaseUserProvider;
5use Symfony\Component\Security\Core\User\UserChecker;
6use Sfauth\User\DatabaseAuthenticationProvider;
7use Symfony\Component\Security\Core\Authentication\AuthenticationProviderManager;
8use Symfony\Component\Security\Core\Authentication\Token\UsernamePasswordToken;
9use Symfony\Component\Security\Core\Exception\AuthenticationException;
10
11// init doctrine db connection
12$doctrineConnection = \Doctrine\DBAL\DriverManager::getConnection(
13 array('url' => 'mysql://{USERNAME}:{PASSWORD}@{HOSTNAME}/{DATABASE_NAME}'), new \Doctrine\DBAL\Configuration()
14);
15
16// init our custom db user provider
17$userProvider = new DatabaseUserProvider($doctrineConnection);
18
19// we'll use default UserChecker, it's used to check additional checks like account lock/expired etc.
20// you can implement your own by implementing UserCheckerInterface interface
21$userChecker = new UserChecker();
22
23// init our custom db authentication provider
24$dbProvider = new DatabaseAuthenticationProvider(
25 $userProvider,
26 $userChecker,
27 'frontend'
28);
29
30// init authentication provider manager
31$authenticationManager = new AuthenticationProviderManager(array($dbProvider));
32
33try {
34 // init un/pw, usually you'll get these from the $_POST variable, submitted by the end user
35 $username = 'admin';
36 $password = 'admin';
37
38 // get unauthenticated token
39 $unauthenticatedToken = new UsernamePasswordToken(
40 $username,
41 $password,
42 'frontend'
43 );
44
45 // authenticate user & get authenticated token
46 $authenticatedToken = $authenticationManager->authenticate($unauthenticatedToken);
47
48 // we have got the authenticated token (user is logged in now), it can be stored in a session for later use
49 echo $authenticatedToken;
50 echo "\n";
51} catch (AuthenticationException $e) {
52 echo $e->getMessage();
53 echo "\n";
54}به خاطر داشته باشید که در گردش کار احراز هویت که در ابتدای این مقاله مورد بررسی قرار دادیم، به همین توالی کارهایی که در کد فوق میبینید، اشاره کرده بودیم. نخستین چیزی که باید بازیابی شود اطلاعات کاربر است و به وسیله آن یک توکن احراز نشده میسازیم.
1$unauthenticatedToken = new UsernamePasswordToken(
2 $username,
3 $password,
4 'frontend'
5);سپس توکن را به بخش مدیریت احراز هویت ارسال میکنیم تا مورد اعتبار سنجی قرار گیرد.
1// authenticate user & get authenticated token
2$authenticatedToken = $authenticationManager->authenticate($unauthenticatedToken);زمانی که متد احراز هویت فراخوانی میشود، چیزهای زیادی در پسزمینه اجرا میشوند. در ابتدا بخش مدیریت احراز هویت اقدام به گزینش ارائهدهنده مناسب احراز هویت میکند. در مورد مثال ما، این همان ارائهدهنده احراز هویت با نام DatabaseAuthenticationProvider است که برای احراز هویت گزینش خواهد شد.
سپس اقدام به بازیابی کاربر به وسیله نام کاربری از ارائهدهنده کاربر به نام DatabaseUserProvider میکنیم. در نهایت متد checkAuthentication بررسیهای لازم برای احراز هویت درخواست کاربر جاری را انجام میدهد.
اگر میخواهید اسکریپت db_auth.php را تست کنید، باید یک جدول sf_users در پایگاه داده MySQL بسازید.
1CREATE TABLE `sf_users` (
2 `id` int(11) NOT NULL AUTO_INCREMENT,
3 `username` varchar(255) NOT NULL,
4 `password` varchar(255) NOT NULL,
5 `roles` enum('registered','moderator','admin') DEFAULT NULL,
6 PRIMARY KEY (`id`)
7) ENGINE=InnoDB;
8
9INSERT INTO `sf_users` VALUES (1,'admin','21232f297a57a5a743894a0e4a801fc3','admin');در ادامه اسکریپت db_auth.php را اجرا کنید تا طرز کار آن را ببینید. با تکمیل موفقیتآمیز آن شما میتوانید یک توکن احراز هویت را چنان که در قطعه کد زیر میبینید دریافت کنید.
1$php db_auth.php
2UsernamePasswordToken(user="admin", authenticated=true, roles="admin")زمانی که کاربر احراز هویت شد، میتوانید توکن احراز هویت را در یک «سِشِن» (Session) ذخیره کنید تا برای درخواستهای بعدی استفاده شود. به این ترتیب دموی احراز هویت ساده ما تکمیل میشود.
سخن پایانی
در این مقاله به بررسی کامپوننت امنیت سیمفونی پرداختیم که به ما امکان میدهد تا امکانات امنیتی را در اپلیکیشنهای PHP خود داشته باشیم. به طور خاص ما به بررسی امکان احراز هویت پرداختیم که در کامپوننت فرعی symfony/security-core ارائه شده است و با ارائه نمونهای از پیادهسازی آن در یک اپلیکیشن PHP مثالی از طرز کار آن ارائه کردیم.
اگر این نوشته برای شما مفید بوده است، آموزشهای زیر نیز به شما پیشنهاد میشوند:
- مجموعه آموزشهای برنامهنویسی PHP
- مجموعه آموزش های برنامه نویسی
- آموزش پروژه محور PHP — مجموعه مقالات جامع وبلاگ فرادرس
- نوشتن و خواندن فایل ها با PHP — به زبان ساده
- شیوه استفاده از نشست ها (Session) در PHP — به زبان ساده
==
