Symfony : – Sécurité – Authentification – Autorisations

La gestion des autorisations est essentielle pour sécuriser les ressources de votre application en limitant l’accès à certaines fonctionnalités ou sections en fonction des rôles des utilisateurs.

Les rôles : le cœur des autorisations

Les rôles permettent de contrôler l’accès des utilisateurs à des ressources ou des actions. En plus des rôles définis pour vos utilisateurs, Symfony attribue automatiquement des rôles spécifiques selon l’état d’authentification de l’utilisateur :

  • IS_AUTHENTICATED_ANONYMOUSLY

    : l’utilisateur est anonyme.

  • IS_AUTHENTICATED_REMEMBERED

    : l’utilisateur est authentifié grâce à la fonctionnalité « se souvenir de moi ».

  • IS_AUTHENTICATED_FULLY

    : l’utilisateur s’est authentifié avec succès pour la session en cours.

Ces rôles spéciaux ne sont pas définis dans la méthode

getRoles()

de votre entité utilisateur mais sont gérés en interne par Symfony.

Vérifier les rôles d’un utilisateur

Dans les contrôleurs

Pour vérifier si un utilisateur possède un rôle particulier, utilisez la méthode

isGranted()

:

<?php
namespace App\Controller;

use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
use Symfony\Component\HttpFoundation\Response;
use Symfony\Component\Routing\Annotation\Route;

class DefaultController extends AbstractController
{
    #[Route('/')]
    public function index(): Response
    {
        if ($this->isGranted('ROLE_ADMIN')) {
            return new Response('Vous êtes un administrateur.');
        }
        if ($this->isGranted('ROLE_USER')) {
            return new Response('Bienvenue cher utilisateur.');
        }
        return new Response('Vous n\'êtes pas authentifié.');
    }
}

Dans les templates Twig

Dans les vues, utilisez la fonction Twig

is_granted()

pour vérifier les rôles :

{% if is_granted('ROLE_ADMIN') %}
    Vous êtes un administrateur.
{% else %}
    Vous n'êtes pas un administrateur.
{% endif %}

Sécuriser une action

Pour restreindre l’accès à une action dans un contrôleur, vous pouvez lancer une exception

AccessDeniedException

si l’utilisateur ne possède pas le rôle requis :

<?php
namespace App\Controller;

use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
use Symfony\Component\HttpFoundation\Response;
use Symfony\Component\Routing\Annotation\Route;
use Symfony\Component\Security\Core\Exception\AccessDeniedException;

class DefaultController extends AbstractController
{
    #[Route('/page-admin')]
    public function pageAdmin(): Response
    {
        if (!$this->isGranted('ROLE_ADMIN')) {
            throw new AccessDeniedException('Accès interdit');
        }

        return new Response('Bienvenue sur la page administrateur.');
    }
}

Sécuriser une section entière

Vous pouvez sécuriser une section complète de l’application en utilisant la directive

access_control

dans

security.yaml

:

security:
  access_control:
    - { path: ^/admin, roles: ROLE_ADMIN }

Dans cet exemple, toutes les routes commençant par

/admin

ne seront accessibles qu’aux administrateurs (

ROLE_ADMIN

).

Sécuriser avec des critères avancés

En plus des chemins (paths), vous pouvez utiliser d’autres critères pour sécuriser vos ressources :

a. Par nom d’hôte

Pour restreindre l’accès à un sous-domaine, utilisez l’option

host

:

security:
  access_control:
    - { host: ^admin\.example\.com$, roles: ROLE_ADMIN }

b. Forcer le protocole HTTPS

Pour des sections nécessitant une connexion sécurisée (comme un paiement), utilisez

requires_channel

:

security:
  access_control:
    - { path: ^/paiement, roles: IS_AUTHENTICATED_ANONYMOUSLY, requires_channel: https }

c. Par adresse IP ou méthode HTTP

Vous pouvez également limiter l'accès par adresse IP ou méthode HTTP. Par exemple, pour autoriser uniquement un partenaire à utiliser une API :

security:
  access_control:
    - { path: ^/api, ip: 11.22.33.44, methods: [POST], roles: IS_AUTHENTICATED_ANONYMOUSLY }
    - { path: ^/api, roles: ROLE_FORBIDDEN }

Dans ce cas :

  • La première règle permet l’accès à l’IP spécifiée avec des requêtes POST.
  • La deuxième règle refuse l’accès aux autres utilisateurs grâce à un rôle inexistant (
    ROLE_FORBIDDEN

    ).

Pour aller plus loin

Symfony offre des fonctionnalités avancées pour gérer les autorisations, comme l'intégration avec LDAP, OAuth ou des systèmes de contrôle d'accès basés sur des listes (ACL). Pour en savoir plus, explorez la documentation officielle de Symfony Security.

  • Les rôles sont centraux pour sécuriser les ressources dans Symfony.
  • Utilisez
    isGranted()

    dans les contrôleurs ou

    is_granted()

    dans Twig pour vérifier les autorisations.

  • Sécurisez des actions ou des sections entières avec
    access_control

    .

  • Combinez des critères comme le chemin, l'adresse IP, le protocole HTTPS ou la méthode HTTP pour des besoins spécifiques.

Cette approche modulaire permet de répondre à une large gamme de besoins en matière de sécurité.

Symfony : – Sécurité

La sécurité est une préoccupation essentielle lors du développement d’applications web, particulièrement lorsqu’il s’agit de gérer des espaces...