投稿获客
  1. 创想鸟首页
  2. 用户投稿

使用 Symfony 和 SAML 2.0 SSO 保护静态 Twig 路由

程序猿 用户投稿 阅读 0

使用 symfony 和 saml 2.0 sso 保护静态 twig 路由

本文档介绍如何使用 Symfony 框架和 SAML 2.0 单点登录 (SSO) 来保护静态网站的 Twig 路由。我们将使用 hslavich/OneloginSamlBundle 集成 SAML 认证,并配置 Symfony 的安全组件来限制对特定路由的访问,确保只有经过身份验证的用户才能访问这些页面。

配置 Symfony 项目以支持 SAML 2.0 SSO

本教程将指导你如何设置一个 Symfony 项目,该项目通过 SAML 2.0 SSO 提供静态 Twig 路由。我们将使用 hslavich/OneloginSamlBundle 来简化 SAML 集成。

1. 安装 OneloginSamlBundle

首先,使用 Composer 安装 hslavich/OneloginSamlBundle:

composer require hslavich/onelogin-saml-bundle

2. 配置 OneloginSamlBundle

根据你的服务提供商 (SP) 和身份提供商 (IdP) 的配置,填写 config/packages/hslavich_onelogin_saml.yaml 文件。请参考该 Bundle 的 README.md 文件获取详细的配置说明。

一个重要的注意事项是,baseurl 配置值应该设置为应用程序的域名, 附加 /saml。例如:http://myapp.com/saml。这是因为 Bundle 中存在一个 bug,它会移除最后一个路径值(例如 /saml/acs 中的 acs)和域名之间的所有内容。

一个典型的配置示例如下:

# config/packages/hslavich_onelogin_saml.yamlhslavich_onelogin_saml:    sp:        entityid: "your_sp_entity_id"        assertion_consumer_service:            url: "http://myapp.com/saml/acs"        single_logout_service:            url: "http://myapp.com/saml/sls"        NameIDFormat: "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"        x509cert: "YOUR_SP_CERTIFICATE"        privateKey: "YOUR_SP_PRIVATE_KEY"    idp:        entityid: "your_idp_entity_id"        single_sign_on_service:            url: "your_idp_sso_url"        single_logout_service:            url: "your_idp_slo_url"        x509cert: "YOUR_IDP_CERTIFICATE"    security:        username_mapper: HslavichOneloginSamlBundleSecurityUserAttributeUserMapper

请确保将 YOUR_SP_CERTIFICATE, YOUR_SP_PRIVATE_KEY, your_idp_entity_id, your_idp_sso_url, your_idp_slo_url 和 YOUR_IDP_CERTIFICATE 替换为你的实际值。

3. 配置 Symfony 安全组件

更新 config/packages/security.yaml 文件以集成 SAML 认证。

security:    enable_authenticator_manager: true    providers:        saml_provider:            saml:                user_class: AppSecurityUser                default_roles:                    - ROLE_USER        app_user_provider:            id: AppSecurityUserProvider # 可选,如果你需要自定义 UserProvider    firewalls:        dev:            pattern: ^/(_(profiler|wdt)|css|images|js)/            security: false        app:            saml:                provider: saml_provider                username_attribute: eduPersonTargetedID # 映射 SAML 属性到用户名                check_path: saml_acs # SAML Assertion Consumer Service 路径                login_path: saml_login # SAML 登录路径            logout:                path: saml_logout # SAML 登出路径        main:            lazy: true            provider: app_user_provider # 可选,如果你需要自定义 UserProvider    access_control:        - { path: ^/saml/login, roles: PUBLIC_ACCESS } # 允许匿名访问 SAML 登录路径        - { path: ^/saml/metadata, roles: PUBLIC_ACCESS } # 允许匿名访问 SAML 元数据路径        - { path: ^/, roles: ROLE_USER } # 所有其他路径需要 ROLE_USER 角色

解释:

providers: 定义了 saml_provider,它使用 saml 驱动,并指定了用户类和默认角色。 app_user_provider是可选的,如果需要自定义用户提供者则需要配置。firewalls: 定义了 app 防火墙,它使用 saml 认证。username_attribute: 指定了用于匹配用户名的 SAML 属性。 默认情况下,它使用 getNameId() 方法,但你可以将其配置为使用任何其他的 SAML 属性。check_path: 定义了 SAML Assertion Consumer Service (ACS) 的路径。login_path: 定义了 SAML 登录路径。logout: 定义了 SAML 登出路径。access_control: 定义了访问控制规则。/saml/login 和 /saml/metadata 路径允许公开访问。所有其他路径需要 ROLE_USER 角色。

4. 创建 User 类 (AppSecurityUser)

创建一个 AppSecurityUser 类,实现 SymfonyComponentSecurityCoreUserUserInterface 接口。这个类将代表经过 SAML 认证的用户。

username = $username;        $this->roles = $roles;    }    public function getUsername(): string    {        return $this->username;    }    public function getRoles(): array    {        return $this->roles;    }    public function getPassword(): ?string    {        return null; // SAML 认证不需要密码    }    public function getSalt(): ?string    {        return null; // SAML 认证不需要 salt    }    public function eraseCredentials()    {        // 如果需要,可以在这里清除敏感数据    }    public function getUserIdentifier(): string    {        return $this->username;    }}

5. (可选) 创建 UserProvider 类 (AppSecurityUserProvider)

如果你需要自定义用户加载逻辑,可以创建一个 AppSecurityUserProvider 类,实现 SymfonyComponentSecurityCoreUserUserProviderInterface 接口。

loadUserByIdentifier($user->getUserIdentifier());    }    public function supportsClass(string $class): bool    {        return User::class === $class;    }    public function loadUserByUsername(string $username): UserInterface    {        return $this->loadUserByIdentifier($username);    }}

6. 创建 Twig 模板和控制器

创建你的 Twig 模板和控制器来显示静态内容。例如:

render('home/index.html.twig', [            'message' => 'Welcome to the secured area!',        ]);    }}
{# templates/home/index.html.twig #}
{{ message }}
You are logged in!
Logout

7. 测试

现在,访问你的应用程序的根路径(例如 http://myapp.com/)。你将被重定向到 IdP 进行身份验证。成功认证后,你将被重定向回应用程序,并可以访问受保护的页面。

总结

通过以上步骤,你已经成功配置了一个 Symfony 项目,该项目使用 hslavich/OneloginSamlBundle 和 SAML 2.0 SSO 来保护静态 Twig 路由。 /saml/login 和 /saml/metadata 路径可以公开访问,而所有其他路由都需要 ROLE_USER 角色。 用户成功通过 IdP 身份验证后,将被重定向回来并获得会话,然后可以访问站点中的所有路由。

注意事项:

确保你的 SP 和 IdP 配置正确。在生产环境中,使用 HTTPS 来保护 SAML 消息。定期更新 hslavich/OneloginSamlBundle 以获取最新的安全补丁。根据你的需求自定义用户加载逻辑。仔细阅读 hslavich/OneloginSamlBundle 的文档以获取更多高级配置选项。

以上就是使用 Symfony 和 SAML 2.0 SSO 保护静态 Twig 路由的详细内容,更多请关注php中文网其它相关文章!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1293517.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
0 0

关于作者

程序猿的头像

程序猿签约作者

414.1K 文章
0 评论
2 粉丝
这个人很懒,什么都没有留下~
如何在PHP中将字符串转为嵌套数组?递归分割实现方法
上一篇 2025年12月11日 09:09:35
PHP中获取与清理嵌套JSON数据:CURL请求与递归函数实践
下一篇 2025年12月11日 09:09:48

相关推荐

  • composer require-dev和require有什么不同_Composer Require与Require-Dev区别解析 用户投稿

    composer require-dev和require有什么不同_Composer Require与Require-Dev区别解析

    require用于声明项目运行必需的依赖,如框架、数据库组件和第三方SDK,这些包会随项目部署到生产环境;2. require-dev用于声明仅在开发和测试阶段需要的工具,如PHPUnit、PHPStan、Faker等,不会默认部署到生产环境;3. 安装时composer install根据环境决定…

    程序猿的头像 程序猿
    2026年5月10日
    1000
  • 修复Django电商项目中AJAX过滤产品列表图片不显示问题 用户投稿

    修复Django电商项目中AJAX过滤产品列表图片不显示问题

    在Django电商项目中,当使用AJAX动态加载过滤后的产品列表时,常遇到图片无法正常显示的问题。这通常是由于前端模板中图片加载方式(如data-setbg属性结合JavaScript库)与AJAX动态内容更新机制不兼容所致。解决方案是直接在AJAX返回的HTML中使用标准的标签来渲染图片,确保浏览…

    程序猿的头像 程序猿
    2026年5月10日
    700
  • 开源免费PHP工具 PHP开发效率提升利器 用户投稿

    开源免费PHP工具 PHP开发效率提升利器

    推荐开源免费PHP开发工具以提升效率:VS Code、Sublime Text轻量高效,PhpStorm专业强大;调试用Xdebug、Kint、Ray;依赖管理选Composer;代码质量工具包括PHPStan、Psalm、PHP_CodeSniffer;数据库管理可用%ignore_a_1%MyA…

    程序猿的头像 程序猿
    2026年5月10日
    000

  • Matplotlib 地图中多类型图例的创建与优化

    Matplotlib 地图中多类型图例的创建与优化Matplotlib 地图中多类型图例的创建与优化Matplotlib 地图中多类型图例的创建与优化Matplotlib 地图中多类型图例的创建与优化

    本教程旨在解决matplotlib地图可视化中,如何在一个图例中同时展示颜色块(如区域分类)和自定义标记(如特定兴趣点)的问题。文章详细介绍了当传统`patch`对象无法正确显示标记时,如何利用`matplotlib.lines.line2d`创建标记图例句柄,并将其与颜色块图例句柄合并,从而生成一…

    程序猿的头像 程序猿
    2026年5月10日 用户投稿
    900
  • Golang JSON序列化:控制敏感字段暴露的最佳实践 用户投稿

    Golang JSON序列化:控制敏感字段暴露的最佳实践

    本教程探讨golang中如何高效控制结构体字段在json序列化时的可见性。当需要将包含敏感信息的结构体数组转换为json响应时,通过利用`encoding/json`包提供的结构体标签,特别是`json:”-“`,可以轻松实现对特定字段的忽略,从而避免敏感数据泄露,确保api…

    程序猿的头像 程序猿
    2026年5月10日
    300
  • 怎么在PHP代码中实现图片上传功能_PHP图片上传功能实现与安全处理教程 用户投稿

    怎么在PHP代码中实现图片上传功能_PHP图片上传功能实现与安全处理教程

    首先创建含enctype的HTML表单,再用PHP接收文件,检查目录、移动临时文件,验证类型与大小,生成唯一文件名,并调整php.ini限制以确保上传成功。 如果您尝试在PHP项目中添加图片上传功能,但服务器无法正确接收或保存文件,则可能是由于表单配置、文件处理逻辑或安全限制的问题。以下是实现该功能…

    程序猿的头像 程序猿
    2026年5月10日
    300
  • 获取日期中的周数:CodeIgniter 教程 用户投稿

    获取日期中的周数:CodeIgniter 教程

    本教程旨在帮助开发者在 CodeIgniter 框架中,从日期字符串中准确提取周数。我们将使用 PHP 内置的 DateTime 类,并提供详细的代码示例和注意事项,确保您能够轻松地在项目中实现此功能。 使用 DateTime 类获取周数 PHP 的 DateTime 类提供了一种便捷的方式来处理日…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • 比特币新手教程 比特币交易平台有哪些 用户投稿

    比特币新手教程 比特币交易平台有哪些

    比特币是一种去中心化的数字货币,基于区块链技术实现点对点交易,具有匿名性、有限发行和不可篡改等特点;新手可通过交易所购买,P2P交易获得比特币,常用平台包括Binance、OKX和Huobi;交易流程包括注册账户、实名认证、绑定支付方式、充值法币并下单购买,可选择市价单或限价单;比特币存储方式有交易…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • c++中的SFINAE技术是什么_c++模板编程中的SFINAE原理与应用 用户投稿

    c++中的SFINAE技术是什么_c++模板编程中的SFINAE原理与应用

    SFINAE 是“替换失败不是错误”的原则,指模板实例化时若参数替换导致错误,只要存在其他合法候选,编译器不报错而是继续重载决议。它用于条件启用模板、类型检测等场景,如通过 decltype 或 enable_if 控制函数重载,实现类型特征判断。尽管 C++20 引入 Concepts 简化了部分…

    程序猿的头像 程序猿
    2026年5月10日
    000

  • HTML如何隐藏滚动条或去除滚动条

    滚动条可以存在也可以不存在,本文主要介绍了html 隐藏滚动条和去除滚动条的方法的相关资料,大家一起来学习一下html隐藏滚动条或去除滚动条的方法吧。 1. html 标签加属性 XML/HTML Code复制内容到剪贴板 2.body中加入以下代码 立即学习“前端免费学习笔记(深入)”; html…

    程序猿的头像 程序猿
    用户投稿 2026年5月10日
    100
  • Golang gRPC流式请求异常处理 用户投稿

    Golang gRPC流式请求异常处理

    在Golang的gRPC流式通信中,必须通过context.Context处理异常。应监听上下文取消或超时,及时释放资源,设置合理超时,避免连接长时间挂起,并在goroutine中通过context控制生命周期。 在使用 Golang 和 gRPC 实现流式通信时,异常处理是确保服务健壮性的关键部分…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • Go语言mgo查询构建:深入理解bson.M与日期范围查询的正确实践 用户投稿

    Go语言mgo查询构建:深入理解bson.M与日期范围查询的正确实践

    本文旨在解决go语言mgo库中构建复杂查询时,特别是涉及嵌套`bson.m`和日期范围筛选的常见错误。我们将深入剖析`bson.m`的类型特性,解释为何直接索引`interface{}`会导致“invalid operation”错误,并提供一种推荐的、结构清晰的代码重构方案,以确保查询条件能够正确…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • vscode上怎么运行html_vscode上运行html步骤【指南】 用户投稿

    vscode上怎么运行html_vscode上运行html步骤【指南】

    首先保存文件为.html格式,再通过浏览器或Live Server插件打开预览;推荐安装Live Server实现本地服务器运行与实时刷新,提升开发体验。 在 VS Code 上运行 HTML 文件并不需要复杂的配置,只需几个简单步骤即可预览页面效果。VS Code 本身是一个代码编辑器,不直接运行…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • css max-height属性怎么用 用户投稿

    css max-height属性怎么用

    max-height 属性设置元素的最大高度。 说明 该属性值会对元素的高度设置一个最高限制。因此,元素可以比指定值矮,但不能比其高。不允许指定负值。 注意:max-height 属性不包括外边距、边框和内边距。 立即学习“前端免费学习笔记(深入)”; 值描述none 默认。定义对元素被允许的最大高…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • RichHandler与Rich Progress集成:解决显示冲突的教程 用户投稿

    RichHandler与Rich Progress集成:解决显示冲突的教程

    在使用rich库的`richhandler`进行日志输出并同时使用`progress`组件时,可能会遇到显示错乱或溢出问题。这通常是由于为`richhandler`和`progress`分别创建了独立的`console`实例导致的。解决方案是确保日志处理器和进度条组件共享同一个`console`实例…

    程序猿的头像 程序猿
    2026年5月10日
    300
  • 修复点击时按钮抖动:CSS垂直对齐实践 用户投稿

    修复点击时按钮抖动:CSS垂直对齐实践

    本文探讨了在Web开发中,交互式按钮(如播放/暂停按钮)在点击时发生意外垂直位移的问题。通过分析CSS样式变化对元素布局的影响,我们发现这是由于按钮不同状态下的边框样式和内边距改变,以及默认的垂直对齐行为共同作用所致。核心解决方案是利用CSS的vertical-align属性,将其设置为middle…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • Golang goroutine与channel调试技巧 用户投稿

    Golang goroutine与channel调试技巧

    使用go run -race检测数据竞争,结合runtime.NumGoroutine监控协程数量,通过pprof分析阻塞调用栈,利用select超时避免永久阻塞,有效排查goroutine泄漏、死锁和数据竞争问题。 Go语言的goroutine和channel是并发编程的核心,但它们也带来了调试上…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 页面中文本域的值怎么设置 用户投稿

    页面中文本域的值怎么设置

    标签定义多行的文本输入控件。 文本区中可容纳无限数量的文本,其中的文本的默认字体是等宽字体(通常是 Courier)。 可以通过 cols 和 rows 属性来规定 textarea 的尺寸,不过更好的办法是使用 CSS 的 height 和 width 属性。 注释:在文本输入区内的文本行间,用 …

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 使用 Jupyter Notebook 进行探索性数据分析 用户投稿

    使用 Jupyter Notebook 进行探索性数据分析

    Jupyter Notebook通过单元格实现代码与Markdown结合,支持数据导入(pandas)、清洗(fillna)、探索(matplotlib/seaborn可视化)、统计分析(describe/corr)和特征工程,便于记录与分享分析过程。 Jupyter Notebook 是进行探索性…

    程序猿的头像 程序猿
    2026年5月10日
    000

  • 《魔兽世界》将于6月11日开启国服回归技术测试

    《魔兽世界》将于6月11日开启国服回归技术测试《魔兽世界》将于6月11日开启国服回归技术测试《魔兽世界》将于6月11日开启国服回归技术测试《魔兽世界》将于6月11日开启国服回归技术测试

    《%ign%ignore_a_1%re_a_1%》官方宣布,将于6月11日开启国服回归技术测试,时间为7天,并称可以在6月内正式开服,玩家们可以访问官网下载战网客户端并预下载“巫妖王之怒”客户端,技术测试详情见下图。 WordAi WordAI是一个AI驱动的内容重写平台 53 查看详情 以上就是《…

    程序猿的头像 程序猿
    2026年5月10日 用户投稿
    400

发表回复

登录后才能评论
关注微信