La gestion des autorisations est essentielle pour sécuriser les ressources de votre application en limitant l’accès à certaines fonctionnalités ou sections en fonction des rôles des utilisateurs.
Les rôles : le cœur des autorisations
Les rôles permettent de contrôler l’accès des utilisateurs à des ressources ou des actions. En plus des rôles définis pour vos utilisateurs, Symfony attribue automatiquement des rôles spécifiques selon l’état d’authentification de l’utilisateur :
IS_AUTHENTICATED_ANONYMOUSLY: l’utilisateur est anonyme.IS_AUTHENTICATED_REMEMBERED: l’utilisateur est authentifié grâce à la fonctionnalité « se souvenir de moi ».IS_AUTHENTICATED_FULLY: l’utilisateur s’est authentifié avec succès pour la session en cours.
Ces rôles spéciaux ne sont pas définis dans la méthode getRoles() de votre entité utilisateur mais sont gérés en interne par Symfony.
Vérifier les rôles d’un utilisateur
Dans les contrôleurs
Pour vérifier si un utilisateur possède un rôle particulier, utilisez la méthode isGranted() :
<?php
namespace App\Controller;
use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
use Symfony\Component\HttpFoundation\Response;
use Symfony\Component\Routing\Annotation\Route;
class DefaultController extends AbstractController
{
#[Route('/')]
public function index(): Response
{
if ($this->isGranted('ROLE_ADMIN')) {
return new Response('Vous êtes un administrateur.');
}
if ($this->isGranted('ROLE_USER')) {
return new Response('Bienvenue cher utilisateur.');
}
return new Response('Vous n\'êtes pas authentifié.');
}
}Dans les templates Twig
Dans les vues, utilisez la fonction Twig is_granted() pour vérifier les rôles :
{% if is_granted('ROLE_ADMIN') %}
Vous êtes un administrateur.
{% else %}
Vous n'êtes pas un administrateur.
{% endif %}Sécuriser une action
Pour restreindre l’accès à une action dans un contrôleur, vous pouvez lancer une exception AccessDeniedException si l’utilisateur ne possède pas le rôle requis :
<?php
namespace App\Controller;
use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
use Symfony\Component\HttpFoundation\Response;
use Symfony\Component\Routing\Annotation\Route;
use Symfony\Component\Security\Core\Exception\AccessDeniedException;
class DefaultController extends AbstractController
{
#[Route('/page-admin')]
public function pageAdmin(): Response
{
if (!$this->isGranted('ROLE_ADMIN')) {
throw new AccessDeniedException('Accès interdit');
}
return new Response('Bienvenue sur la page administrateur.');
}
}Sécuriser une section entière
Vous pouvez sécuriser une section complète de l’application en utilisant la directive access_control dans security.yaml :
security:
access_control:
- { path: ^/admin, roles: ROLE_ADMIN }Dans cet exemple, toutes les routes commençant par /admin ne seront accessibles qu’aux administrateurs (ROLE_ADMIN).
Sécuriser avec des critères avancés
En plus des chemins (paths), vous pouvez utiliser d’autres critères pour sécuriser vos ressources :
a. Par nom d’hôte
Pour restreindre l’accès à un sous-domaine, utilisez l’option host :
security:
access_control:
- { host: ^admin\.example\.com$, roles: ROLE_ADMIN }
b. Forcer le protocole HTTPS
Pour des sections nécessitant une connexion sécurisée (comme un paiement), utilisez requires_channel :
security:
access_control:
- { path: ^/paiement, roles: IS_AUTHENTICATED_ANONYMOUSLY, requires_channel: https }
c. Par adresse IP ou méthode HTTP
Vous pouvez également limiter l’accès par adresse IP ou méthode HTTP. Par exemple, pour autoriser uniquement un partenaire à utiliser une API :
security:
access_control:
- { path: ^/api, ip: 11.22.33.44, methods: [POST], roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api, roles: ROLE_FORBIDDEN }
Dans ce cas :
- La première règle permet l’accès à l’IP spécifiée avec des requêtes POST.
- La deuxième règle refuse l’accès aux autres utilisateurs grâce à un rôle inexistant (
ROLE_FORBIDDEN).
Pour aller plus loin
Symfony offre des fonctionnalités avancées pour gérer les autorisations, comme l’intégration avec LDAP, OAuth ou des systèmes de contrôle d’accès basés sur des listes (ACL). Pour en savoir plus, explorez la documentation officielle de Symfony Security.
- Les rôles sont centraux pour sécuriser les ressources dans Symfony.
- Utilisez
isGranted()dans les contrôleurs ouis_granted()dans Twig pour vérifier les autorisations. - Sécurisez des actions ou des sections entières avec
access_control. - Combinez des critères comme le chemin, l’adresse IP, le protocole HTTPS ou la méthode HTTP pour des besoins spécifiques.
Cette approche modulaire permet de répondre à une large gamme de besoins en matière de sécurité.
