Problème d'intégrité du Token de l'api avec le reste du projet

API REST avec Symfony 3, Sécurisation de l'API 2/2

L’auteur de ce sujet a trouvé une solution à son problème.

Auteur du sujet

feki Mardi 21 mars 2017 à 16h26 21/03/17 à 16h26

Bonjour, tout d’abord je tiens à remercier toutes l’équipe qui est derrière le site ainsi que l’auteur de l’excellent tuto API REST avec Symfony 3 grace à qui j’ai découvert le site.

Je me retrouve actuellement devant une petite impasse avec une mauvaise configuration de mon fichier app/config/security.yml

Quand le token est invalidé ou incorrect j’ai une redirection vers la page de login du site et non pas le message d’erreur configurer pour mon API avec le code status correspondant(401 par exemple). Les liens spécifiques à l’api son préfixé par /api pour séparer le site de l’api.

Donc auriez-vous une solution à mon problème, avec des petites explications si possible, voici mon fichier app/config/security.yml

security:

    encoders:
        FOS\UserBundle\Model\UserInterface: bcrypt
        SON\ApiBundle\Entity\UserApi:
            algorithm: bcrypt
            cost: 12

    role_hierarchy:
        ROLE_ADMIN:       ROLE_USER
        ROLE_SUPER_ADMIN: ROLE_ADMIN

    providers:
        fos_userbundle:
            id: fos_user.user_provider.username
        auth_token_user_provider:
            id: auth_token_user_provider

    firewalls:
        main:

            pattern: ^/api
            stateless: true
            simple_preauth:
                authenticator: auth_token_authenticator
            provider: auth_token_user_provider
            anonymous: ~

            pattern: ^/
            form_login:
                provider: fos_userbundle
                csrf_token_generator: security.csrf.token_manager
                login_path: fos_user_security_login
                check_path: fos_user_security_check
                success_handler: son_user.login_handler
                failure_handler: son_user.login_handler
            remember_me:
                secret:   '%secret%'
                lifetime: 604800
                path:     /
            logout:       true
            anonymous:    true



        # disables authentication for assets and the profiler, adapt it according to your needs
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false

    access_control:
        - { path: ^/login$, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/register, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/resetting, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/admin/, role: ROLE_ADMIN }
        - { path: ^/ban, role: ROLE_ADMIN }



`

Merci d’avance

Édité par feki mardi 21 mars 2017 à 19h49

+0 -0

BestCoder Mardi 21 mars 2017 à 20h18 21/03/17 à 20h18

Cette réponse a aidé l’auteur du sujet

Salut,

Dans ta partie firewalls, tu déclares dans main deux fois la clé pattern. Tu devrais créer un firewall spécifique pour la partie API de ton code et ne pas mélanger la partie API et la partie IHM de ton code.

Vu que tu utilises FOSUserBundle, je suppose que tu ne suis pas exactement le cours mais tu essayes de rajouter une API à une application existante.

Je te conseilles de lire la première partie de la partie annexe du cours : Comment générer des pages HTML depuis l’appication.

Pour ta partie sécurité, il est préférable d’avoir deux firewalls distincts: un pour l’ihm et un autre pour l’API.

    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js|default)/
            security: false

        api:
            pattern: ^/api
            # la conf pour l'api

        main:
            pattern: ^/
            # la conf pour le reste de l'application

L’ordre de déclaration est important ici.

Édité par BestCoder mardi 21 mars 2017 à 22h52

Doctrine 2 : À l’assaut de l’ORM phare de PHP (Disponible sur Kindle) - Créez une API REST avec Symfony 3 (Disponible sur Kindle)

+1 -0

Auteur du sujet

feki Mardi 21 mars 2017 à 21h23 21/03/17 à 21h23

Salut

Oui effectivement l’erreur viens bien de la, merci encore pour votre aide précieuse et avis d’expert. :magicien:

+0 -0

Auteur du sujet

feki Mardi 21 mars 2017 à 21h51 21/03/17 à 21h51

Par contre l’accès au topic du cours : Comment générer des pages HTML depuis l’appication m’est refusé.

Je te conseilles de lire la première partie de la partie annexe du cours : Comment générer des pages HTML depuis l’appication.

+0 -0

BestCoder Mardi 21 mars 2017 à 22h53 21/03/17 à 22h53

De rien .

J’avais mis le lien privée. J’ai édité mon post pour le corriger.

Doctrine 2 : À l’assaut de l’ORM phare de PHP (Disponible sur Kindle) - Créez une API REST avec Symfony 3 (Disponible sur Kindle)

+1 -0

Auteur du sujet

feki Mardi 21 mars 2017 à 23h03 21/03/17 à 23h03

Ah très bien merci:D, effectivement j’ai bien suivi cette méthode pour interagir avec le reste de mon projet, d’où le pattern: ^/api, par contre toutes les routes préfixées par /api ne sont accessibles qu’en mode dev et non en mode prod.

+0 -0

BestCoder Mercredi 22 mars 2017 à 12h09 22/03/17 à 12h09

Cette réponse a aidé l’auteur du sujet

Pour activer le mode prod, il faut toujours vider le cache.

Si le problème n’est pas identique, mieux vaut créer un nouveau sujet.

Doctrine 2 : À l’assaut de l’ORM phare de PHP (Disponible sur Kindle) - Créez une API REST avec Symfony 3 (Disponible sur Kindle)

+0 -0

Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte