在Symfony 5.3中实现JWT令牌验证与访问控制-php教程-PHP中文网

在symfony 5.3中实现jwt令牌验证与访问控制

本教程详细介绍了如何在Symfony 5.3中集成并正确配置JWT（JSON Web Token）认证，以保护API接口。文章首先概述了JWT认证流程，随后深入解析了security.yaml中的防火墙配置和AbstractGuardAuthenticator的具体实现。核心内容聚焦于如何通过access_control规则，确保只有携带有效JWT令牌的请求才能访问受保护的资源，同时允许特定路径（如登录接口）进行公共访问，从而解决API端点未受保护的问题。

1. JWT认证机制概述

JSON Web Token (JWT) 是一种开放标准 (RFC 7519)，它定义了一种紧凑且自包含的方式，用于在各方之间安全地传输信息，通常用于身份验证和信息交换。在API开发中，JWT常用于实现无状态认证：用户登录成功后，服务器返回一个JWT，客户端在后续请求中将此JWT放入HTTP Authorization 头（通常以Bearer前缀），服务器通过验证JWT来识别用户身份并授权访问。

在Symfony中实现JWT认证，通常涉及以下几个核心组件：

JWT生成: 在用户登录成功后，根据用户身份信息生成一个签名的JWT。
安全防火墙 (Firewall): 在security.yaml中配置一个防火墙，用于拦截所有请求并将其导向自定义的认证器。
认证器 (Authenticator): 负责从请求中提取JWT，验证其有效性，并加载对应的用户。
访问控制 (Access Control): 定义哪些URL路径需要认证，以及需要何种权限才能访问。

2. Symfony安全配置：security.yaml

security.yaml是Symfony安全组件的核心配置文件，它定义了认证提供者、密码哈希器、防火墙以及访问控制规则。

以下是一个典型的security.yaml配置片段，用于支持JWT认证：

security:
    enable_authenticator_manager: true # 启用新的认证管理器 (Symfony 5.3+)

    password_hashers:
        Symfony\Component\Security\Core\User\PasswordAuthenticatedUserInterface: 'auto'

    providers:
        # 这里可以使用in_memory，但在实际应用中通常是Doctrine实体用户提供者
        users_in_memory: { memory: null } 

    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false # 开发工具和静态资源不进行安全检查

        main:
            guard:
                authenticators:
                    - App\Security\JwtAuthenticator # 指定自定义的JWT认证器
            lazy: true # 懒加载认证器
            provider: users_in_memory # 指定用户提供者
            stateless: true # 声明此防火墙是无状态的，不使用session

登录后复制

配置解析：

enable_authenticator_manager: true: Symfony 5.3引入了新的认证管理器，建议启用。
firewalls.main: 定义了一个名为main的防火墙。
- guard.authenticators: 这是一个关键配置，它指定了将由App\Security\JwtAuthenticator来处理此防火墙下的认证逻辑。AbstractGuardAuthenticator在Symfony 5.3中虽然仍可使用，但已标记为废弃，推荐使用AuthenticatorInterface。
- stateless: true: 对于API认证，通常设置为无状态，这意味着每次请求都必须携带认证凭据，服务器不会维护会话状态。

3. JWT认证器实现：JwtAuthenticator

JwtAuthenticator是实现JWT验证逻辑的核心类。它继承自AbstractGuardAuthenticator（或实现AuthenticatorInterface）。

namespace App\Security;

use Doctrine\ORM\EntityManagerInterface;
use Symfony\Component\DependencyInjection\ParameterBag\ContainerBagInterface;
use Symfony\Component\HttpFoundation\JsonResponse;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\Response;
use Symfony\Component\Security\Core\Exception\AuthenticationException;
use Symfony\Component\Security\Core\User\UserInterface;
use Symfony\Component\Security\Core\User\UserProviderInterface;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Firebase\JWT\JWT;
use Symfony\Component\Security\Guard\AbstractGuardAuthenticator;

class JwtAuthenticator extends AbstractGuardAuthenticator
{
    private $em;
    private $params;

    public function __construct(EntityManagerInterface $em, ContainerBagInterface $params)
    {
        $this->em = $em;
        $this->params = $params;
    }

    /**
     * 当认证失败，且未提供凭据时调用。例如，请求未包含Authorization头。
     */
    public function start(Request $request, AuthenticationException $authException = null): JsonResponse
    {
        return new JsonResponse(['message' => 'Authentication Required'], Response::HTTP_UNAUTHORIZED);
    }

    /**
     * 判断当前请求是否需要此认证器处理。
     * 如果请求头中包含'Authorization'，则返回true。
     */
    public function supports(Request $request): bool
    {
        return $request->headers->has('Authorization');
    }

    /**
     * 从请求中提取认证凭据（即JWT）。
     */
    public function getCredentials(Request $request)
    {
        return $request->headers->get('Authorization');
    }

    /**
     * 根据凭据加载用户。
     * 在这里，我们解码JWT，并根据其中的'sub'（主题）字段从数据库中查找用户。
     */
    public function getUser($credentials, UserProviderInterface $userProvider)
    {
        try {
            // 移除'Bearer '前缀
            $token = str_replace('Bearer ', '', $credentials);
            // 解码JWT，需要提供密钥和算法
            $jwtData = (array) JWT::decode($token, $this->params->get('jwt_secret'), ['HS256']);

            // 从数据库中查找用户，假设'sub'字段存储用户ID
            // 注意：App:ATblUsers 是一个简化写法，实际应使用完整的实体类名
            return $this->em->getRepository('App\Entity\ATblUsers')->find($jwtData['sub']);
        } catch (\Exception $exception) {
            // JWT解码失败（如过期、签名无效）则抛出认证异常
            throw new AuthenticationException($exception->getMessage());
        }
    }

    /**
     * 检查凭据是否有效。
     * 对于JWT，通常在getUser方法中完成所有验证，此方法可以为空。
     */
    public function checkCredentials($credentials, UserInterface $user)
    {
        // JWT的验证通常在getUser中完成，这里可以留空或进行额外检查
        return true; 
    }

    /**
     * 认证失败时调用。
     */
    public function onAuthenticationFailure(Request $request, AuthenticationException $exception): JsonResponse
    {
        return new JsonResponse([
            'message' => $exception->getMessage()
        ], Response::HTTP_UNAUTHORIZED);
    }

    /**
     * 认证成功时调用。
     * 对于无状态API，通常无需做任何操作。
     */
    public function onAuthenticationSuccess(Request $request, TokenInterface $token, string $providerKey)
    {
        return; // 返回null或空，表示继续处理请求
    }

    /**
     * 是否支持“记住我”功能。对于无状态API，通常返回false。
     */
    public function supportsRememberMe(): bool
    {
        return false;
    }
}

登录后复制

方法解析：

__construct: 注入EntityManagerInterface用于数据库操作和ContainerBagInterface用于获取JWT密钥。
start: 当请求未携带认证信息时，返回401 Unauthorized响应。
supports: 检查请求头中是否存在Authorization字段，决定是否处理该请求。
getCredentials: 从Authorization头中获取JWT字符串。
getUser: 这是核心方法，负责解码JWT，验证其签名和有效期，并根据JWT中的用户信息（如sub字段）从数据库中加载对应的用户实体。如果JWT无效，将抛出AuthenticationException。
checkCredentials: 对于JWT认证，通常在getUser中已完成所有凭据验证，此方法可以简单返回true。
onAuthenticationFailure: 认证失败时，返回带有错误信息的401 Unauthorized响应。
onAuthenticationSuccess: 认证成功时，继续处理请求。对于无状态API，通常无需返回特定响应。
supportsRememberMe: JWT通常不与“记住我”功能结合，因此返回false。

4. 核心问题与解决方案：access_control

尽管防火墙和认证器都已配置，但如果API端点仍然可以未经认证访问，那很可能是因为security.yaml中的access_control规则配置不当或缺失。access_control是Symfony安全组件中用于定义URL路径与所需角色之间映射关系的关键部分。它按顺序匹配URL路径，并应用第一个匹配的规则。

百度文心百中

百度大模型语义搜索体验中心

查看详情

原配置中缺少了对根路径/的访问控制，导致所有路径都可以被未认证用户访问。

5. 配置示例与解析

为了确保除了认证登录接口外，所有其他API接口都必须经过JWT认证，我们需要在security.yaml中添加或修改access_control部分：

security:
    # ... (其他配置保持不变)

    access_control:
        # 允许所有用户访问 /authenticate 路径（登录接口）
        - { path: ^/authenticate, roles: PUBLIC_ACCESS }
        # 要求所有其他路径都必须完全认证 (IS_AUTHENTICATED_FULLY)
        - { path: ^/, roles: IS_AUTHENTICATED_FULLY }

登录后复制

配置解析：

{ path: ^/authenticate, roles: PUBLIC_ACCESS }: 这条规则允许任何用户（包括未认证用户）访问以/authenticate开头的URL路径。这是必要的，因为用户需要先访问这个接口来获取JWT令牌。PUBLIC_ACCESS是一个特殊的角色，表示公共访问。
{ path: ^/, roles: IS_AUTHENTICATED_FULLY }: 这条规则是一个通配符，它匹配所有URL路径（包括/authenticate，但由于前面的规则已经匹配，所以它不会被这条规则处理）。IS_AUTHENTICATED_FULLY是一个Symfony内置角色，表示用户必须经过完整的认证过程（即成功通过JwtAuthenticator的验证）才能访问。

重要提示： access_control规则的顺序至关重要。Symfony会从上到下依次匹配规则，一旦找到匹配项，就会应用该规则并停止。因此，更具体的规则（如/authenticate）应放在更宽泛的规则（如/）之前。

6. 注意事项与最佳实践

JWT密钥安全: 在JwtAuthenticator中，JWT的解码依赖于一个密钥（jwt_secret）。这个密钥必须保密，并且不能硬编码在代码中。建议通过环境变量或Symfony的参数配置来管理。例如，在services.yaml中定义：
```
parameters:
    jwt_secret: '%env(JWT_SECRET)%'
```
登录后复制
然后在.env文件中设置JWT_SECRET。
用户提供者: 示例中使用了users_in_memory，但在生产环境中，您通常会配置一个自定义的用户提供者，例如通过Doctrine从数据库加载用户。
JWT库: 示例中使用了firebase/php-jwt库，这是PHP中常用的JWT实现。确保您的项目中已通过Composer安装：composer require firebase/php-jwt。
AbstractGuardAuthenticator的弃用: 尽管本教程基于AbstractGuardAuthenticator解决了问题，但自Symfony 5.3起，它已被标记为弃用。在新的项目中，建议使用AuthenticatorInterface及其配套的LoginLinkAuthenticator或自定义实现来构建认证系统。这通常涉及更清晰的错误处理和更现代的认证流程。
错误处理: JwtAuthenticator中包含了基本的错误处理，例如JWT解码失败时抛出异常。在实际应用中，您可能需要更细致的错误码和消息，以便客户端能够准确识别问题。
JWT过期与刷新: 教程仅涵盖了基本的JWT验证。在实际应用中，您还需要考虑JWT的过期策略和刷新机制，以提高安全性并改善用户体验。