src/ApiBundle/Security/Firewall/SessionAuthenticationListener.php line 33

Open in your IDE?
  1. <?php
  3. namespace ApiBundle\Security\Firewall;
  5. use Symfony\Component\DependencyInjection\ContainerInterface;
  6. use Symfony\Component\HttpFoundation\Request;
  7. use Symfony\Component\HttpKernel\Exception\AccessDeniedHttpException;
  8. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  9. use Symfony\Component\Security\Core\Exception\UnsupportedUserException;
  10. use Symfony\Component\Security\Core\Exception\UserNotFoundException;
  11. use Symfony\Component\Security\Core\User\UserInterface;
  12. use Symfony\Component\Security\Core\User\UserProviderInterface;
  13. use Symfony\Component\Security\Csrf\CsrfToken;
  15. class SessionAuthenticationListener extends BaseAuthenticationListener
  16. {
  17.     /**
  18.      * @var UserProviderInterface
  19.      */
  20.     private $userProvider;
  22.     public function __construct(ContainerInterface $containerUserProviderInterface $userProvider)
  23.     {
  24.         parent::__construct($container);
  25.         $this->userProvider $userProvider;
  26.     }
  28.     /**
  29.      * @TODO key写死了
  30.      */
  31.     private $sessionKey '_security_main';
  33.     public function handle(Request $request)
  34.     {
  35.         if (null !== $this->getTokenStorage()->getToken()) {
  36.             return;
  37.         }
  39.         $session $this->container->get('session');
  41.         if (null === $session || null === $token $session->get($this->sessionKey)) {
  42.             return;
  43.         }
  45.         $this->isApiRequest($request) ?: $this->validateCsrfToken($request);
  47.         $token unserialize($token);
  49.         if ($token instanceof TokenInterface) {
  50.             $token $this->refreshUser($token);
  51.         } elseif (null !== $token) {
  52.             $token null;
  53.         }
  55.         $this->getTokenStorage()->setToken($token);
  56.     }
  58.     private function isApiRequest(Request $request)
  59.     {
  60.         return 'application/vnd.edusoho.v2+json' === $request->headers->get('Accept''') || 'application/vnd.edusoho.v3+json' === $request->headers->get('Accept''');
  61.     }
  63.     private function validateCsrfToken(Request $request)
  64.     {
  65.         if ($request->isXmlHttpRequest()) {
  66.             $token $request->headers->get('X-CSRF-Token');
  67.         } else {
  68.             $token $request->request->get('_csrf_token''');
  69.         }
  71.         if (!$this->container->get('security.csrf.token_manager')->isTokenValid(new CsrfToken('site'$token))) {
  72.             throw new AccessDeniedHttpException('The page has expired, please resubmit.');
  73.         }
  74.     }
  76.     /**
  77.      * Refreshes the user by reloading it from the user provider.
  78.      *
  79.      * @return TokenInterface|null
  80.      *
  81.      * @throws \RuntimeException
  82.      */
  83.     protected function refreshUser(TokenInterface $token)
  84.     {
  85.         $user $token->getUser();
  86.         if (!$user instanceof UserInterface) {
  87.             return $token;
  88.         }
  90.         try {
  91.             $refreshedUser $this->userProvider->refreshUser($user);
  92.             $token->setUser($refreshedUser);
  94.             return $token;
  95.         } catch (UnsupportedUserException $e) {
  96.             // let's try the next user provider
  97.         } catch (UserNotFoundException $e) {
  98.             return null;
  99.         }
  101.         throw new \RuntimeException(sprintf('There is no user provider for user "%s".'get_class($user)));
  102.     }
  103. }