假设我在 security.yml
下有我的 access_control
block :
access_control:
- { path: ^/$, roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/reset-password, roles: IS_AUTHENTICATED_ANONYMOUSLY }
在这种情况下,每个人都可以进入homepage
和reset-password
页面。但我想只允许匿名身份验证的用户使用这些页面。完全通过身份验证的用户应该收到 403 访问被拒绝错误
或 404 页面未找到
。
根据documentation使用 allow_if
我应该可以创建角色表达式来定义访问权限。但是如果我这样做:
access_control:
- { path: ^/reset-password, allow_if: "has_role('IS_AUTHENTICATED_ANONYMOUSLY') and not has_role('IS_AUTHENTICATED_FULLY')" }
现在按照这个想法,完全认证的用户(登录)不应该被允许访问该页面,匿名认证的用户应该能够访问,但是,不幸的是,没有用户能够访问它......
知道我遗漏了什么吗?
更新
这让它按照正确答案的建议工作:
- { path: ^/reset-password, allow_if: "is_anonymous() and !is_authenticated()" }
最佳答案
您确定可以使用 has_role()
测试 IS_*
吗?这些行为像角色,但它们不是角色。也许这就是它总是返回 false
的原因:
看来您最好在 allow_if
表达式中使用 is_anonymous()
和 is_authenticated()
自定义函数。
关于php - Symfony2 - 将安全 access_control 设置为仅允许匿名身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39973519/