Symfony 5.3 中 JWT 认证与访问控制的配置指南-php教程-PHP中文网

Symfony 5.3 中 JWT 认证与访问控制的配置指南

心靈之曲

发布： 2025-07-19 13:44:12

原创

368人浏览过

symfony 5.3 中 jwt 认证与访问控制的配置指南

本文旨在解决 Symfony 5.3 应用中 JWT 令牌认证后，访问控制未生效的问题。我们将详细介绍如何在 Symfony 5.3 中配置 JWT 认证器（Guard Authenticator），并着重指出 security.yaml 中 access_control 配置的重要性，确保API端点能根据JWT令牌正确地限制访问，从而实现无状态的用户认证与授权。

JWT认证概述与Symfony安全组件

在构建无状态API时，JSON Web Token (JWT) 是一种广泛使用的认证机制。它允许服务器在用户登录后颁发一个令牌，客户端在后续请求中携带此令牌，服务器通过验证令牌的有效性来确认用户身份。这种方式避免了服务器端维护会话状态的开销，非常适合分布式或微服务架构。

Symfony 框架通过其强大的安全组件提供了灵活的认证和授权能力。其核心概念包括：

Firewalls（防火墙）：定义了如何进行认证（例如，使用表单登录、API令牌等）。
Authenticators（认证器）：执行具体的认证逻辑，如验证用户名密码或解析JWT。
Access Control（访问控制）：定义了哪些URL路径需要哪些角色或认证状态才能访问。

在实际开发中，一个常见的误区是，即使配置了自定义认证器，如果 security.yaml 中的 access_control 未正确设置，受保护的API端点仍然可能在没有有效令牌的情况下被访问。

JWT令牌的生成

通常，JWT令牌是在用户成功登录后由认证服务或控制器生成并返回给客户端。这个过程涉及验证用户凭据，然后使用一个秘密密钥对用户ID、角色等信息进行签名，生成JWT字符串。

以下是一个简化的JWT生成后的JSON响应示例：

// 假设 $jwt 变量已经包含了生成的JWT字符串
$body = [
    'auth_token' => $jwt,
];
// 返回包含JWT的JSON响应
return new JsonResponse($body, 201);

登录后复制

客户端在接收到 auth_token 后，应将其存储并在后续请求中通过 Authorization 请求头（通常以 Bearer 前缀）发送给服务器。

问问小宇宙

问问小宇宙是小宇宙团队出品的播客AI检索工具

查看详情

Symfony安全配置（security.yaml）

security.yaml 文件是Symfony安全组件的核心配置文件，它定义了应用程序的认证策略、用户提供者以及访问控制规则。

security:
    # 启用 Authenticator Manager，Symfony 5.3+ 推荐
    enable_authenticator_manager: true

    # 密码哈希器配置
    password_hashers:
        Symfony\Component\Security\Core\User\PasswordAuthenticatedUserInterface: 'auto'

    # 旧版密码编码器（如果仍在使用）
    encoders:
        App\Entity\ATblUsers:
            algorithm: bcrypt

    # 用户提供者配置
    providers:
        # 内存用户提供者，仅用于演示或简单场景
        users_in_memory: { memory: null }
        # 生产环境通常会配置 Doctrine ORM 用户提供者
        # app_user_provider:
        #    entity:
        #        class: App\Entity\User
        #        property: email

    # 防火墙配置
    firewalls:
        # 开发环境防火墙，跳过安全检查
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false

        # 主防火墙，处理大部分应用程序请求
        main:
            # Guard 认证器配置
            guard:
                authenticators:
                    - App\Security\JwtAuthenticator # 指定我们自定义的JWT认证器
            lazy: true # 懒加载认证器
            provider: users_in_memory # 使用上面定义的用户提供者
            stateless: true # 关键：声明此防火墙是无状态的，不使用会话

    # 访问控制规则
    # 注意：只有第一个匹配的规则会被使用
    access_control:
        # 允许 /authenticate 路径公开访问，用于获取JWT令牌
        - { path: ^/authenticate, roles: PUBLIC_ACCESS }
        # 所有其他路径（除了dev和authenticate）都需要完全认证才能访问
        - { path: ^/, roles: IS_AUTHENTICATED_FULLY }

登录后复制

关键点解析：

firewalls.main.guard.authenticators: 这里指定了 App\Security\JwtAuthenticator 作为处理 main 防火墙下请求的认证器。这意味着当请求进入 main 防火墙时，Symfony会尝试使用 JwtAuthenticator 进行认证。
firewalls.main.stateless: true: 这是无状态API的关键配置。它告诉Symfony这个防火墙不应该使用会话来存储用户状态，这与JWT的无状态特性相符。
access_control: 这是解决问题的核心所在。 即使 JwtAuthenticator 配置正确，如果没有 access_control 规则，Symfony并不知道哪些路径需要认证。
- { path: ^/authenticate, roles: PUBLIC_ACCESS }：这条规则明确指出，以 /authenticate 开头的路径是公共的，不需要任何认证即可访问。这通常用于登录或注册接口，以便客户端获取JWT令牌。
- { path: ^/, roles: IS_AUTHENTICATED_FULLY }：这条规则是通配符，它表示所有其他路径（在 dev 防火墙和 /authenticate 规则之后）都需要用户是“完全认证”状态 (IS_AUTHENTICATED_FULLY) 才能访问。这意味着，如果请求没有有效的JWT令牌，或者令牌无效，将无法访问这些路径。

JWT认证器实现（JwtAuthenticator.php）

JwtAuthenticator 是一个自定义的 Guard 认证器，它负责从请求中提取JWT，解码并验证其有效性，然后加载对应的用户。

<?php

namespace App\Security;

use Doctrine\ORM\EntityManagerInterface;
use Symfony\Component\DependencyInjection\ParameterBag\ContainerBagInterface;
use Symfony\Component\HttpFoundation\JsonResponse;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\Response;
use Symfony\Component\Security\Core\Exception\AuthenticationException;
use Symfony\Component\Security\Core\User\UserInterface;
use Symfony\Component\Security\Core\User\UserProviderInterface;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Firebase\JWT\JWT; // 确保已安装 firebase/php-jwt 库
use Symfony\Component\Security\Guard\AbstractGuardAuthenticator;

class JwtAuthenticator extends AbstractGuardAuthenticator
{
    private $em;
    private $params;

    public function __construct(EntityManagerInterface $em, ContainerBagInterface $params)
    {
        $this->em = $em;
        $this->params = $params;
    }

    /**
     * 当用户未认证访问受保护资源时调用
     */
    public function start(Request $request, AuthenticationException $authException = null): JsonResponse
    {
        return new JsonResponse(['message' => 'Authentication Required'], Response::HTTP_UNAUTHORIZED);
    }

    /**
     * 判断当前请求是否应该由这个认证器处理
     * 如果请求头中包含 'Authorization'，则尝试处理
     */
    public function supports(Request $request): bool
    {
        return $request->headers->has('Authorization');
    }

    /**
     * 从请求中获取认证凭据（这里是JWT令牌）
     */
    public function getCredentials(Request $request)
    {
        return $request->headers->get('Authorization');
    }

    /**
     * 根据凭据加载用户
     * 解码JWT，从令牌中提取用户ID，并从数据库加载用户实体
     */
    public function getUser($credentials, UserProviderInterface $userProvider)
    {
        try {
            // 移除 'Bearer ' 前缀
            $token = str_replace('Bearer ', '', $credentials);

            // 获取JWT密钥，确保在 services.yaml 或 parameters.yaml 中定义了 'jwt_secret'
            $secret = $this->params->get('jwt_secret');

            // 解码JWT令牌
            // 注意：Firebase\JWT\JWT::decode 在 v6.x 后第二个参数要求 Key 对象
            // 如果你使用的是旧版本（如v5.x），可以直接传入字符串密钥
            // 对于新版本，需要使用 new Key($secret, 'HS256')
            $decodedJwt = (array) JWT::decode($token, $secret, ['HS256']);

            // 从解码后的令牌中获取用户ID（通常在 'sub' 字段）
            $userId = $decodedJwt['sub'];

            // 从数据库中查找用户
            return $this->em->getRepository('App:ATblUsers')->find($userId);
        } catch (\Exception $exception) {
            // 捕获JWT解码失败或用户查找失败的异常
            throw new AuthenticationException('Invalid JWT Token: ' . $exception->getMessage());
        }
    }

    /**
     * 检查凭据是否有效
     * 对于JWT，令牌本身包含了认证信息，所以通常无需额外检查
     */
    public function checkCredentials($credentials, UserInterface $user)
    {
        // JWT的有效性已在 getUser 方法中通过解码和签名验证
        return true;
    }

    /**
     * 认证失败时的处理
     */
    public function onAuthenticationFailure(Request $request, AuthenticationException $exception): JsonResponse
    {
        return new JsonResponse([
            'message' => 'Authentication Failed: ' . $exception->getMessage()
        ], Response::HTTP_UNAUTHORIZED);
    }

    /**
     * 认证成功时的处理
     */
    public function onAuthenticationSuccess(Request $request, TokenInterface $token, string $providerKey)
    {
        // 认证成功，继续处理请求
        return null;
    }

    /**
     * 对于无状态API，通常不支持“记住我”功能
     */
    public function supportsRememberMe(): bool
    {
        return false;
    }
}

登录后复制

代码解析：

__construct: 注入 EntityManagerInterface 用于数据库操作（加载用户）和 ContainerBagInterface 用于获取应用程序参数（如JWT密钥）。
start: 当未认证用户尝试访问受保护资源时，此方法被调用，返回一个401未授权响应。
supports: 这是认证器的入口点。它检查请求是否包含 Authorization 请求头。如果存在，表示这个请求可能带有JWT，认证器将尝试处理。
getCredentials: 从 Authorization 请求头中提取JWT字符串。
getUser: 这是核心逻辑。
- 它首先移除 Bearer 前缀。
- 然后使用 Firebase\JWT\JWT::decode 函数解码JWT。解码需要JWT字符串、用于签名的秘密密钥以及使用的算法（如 HS256）。请确保你的 jwt_secret 在 config/services.yaml 或 config/packages/parameters.yaml 中被定义，并且在 JwtAuthenticator 的构造函数中通过 ContainerBagInterface 获取。
- 成功解码后，从令牌的负载（payload）中提取用户ID（通常在 sub 字段）。
- 最后，通过 EntityManager 从数据库中查找对应的用户实体。
- 任何解码或用户查找失败都应抛出 AuthenticationException，以便 onAuthenticationFailure 方法能捕获并返回错误响应。
checkCredentials: 对于JWT认证，一旦令牌被成功解码和验证，凭据本身就已有效，因此此方法通常直接返回 true。
onAuthenticationFailure: 认证失败时调用，返回带有