Aide pour FosUserBundle

**manuzed78** · 07/01/2015, 11h18

Hello à tous

j'ai pris le temps de suivre la documentation d'install de FosUserBundle et j'ai un truc qui ne ne fonctionne pas...

Quand j'enregistre un nouvel utilisateur, cela fonctionne et il est automatiquement connecté (c'est bon signe

)
quand je me déconnecte, c'est OK

Par contre c'est pour la connexion que ça plante : le formulaire envoie bien les infos mais rien ne se passe, après chargement il revient sur le formulaire de connection
sans jamais me mettre un message d'erreur et ce même si je mets n'importe quoi en login / mdp ...

D'ou cela peut il bien venir ?

**manuzed78** · 07/01/2015, 11h48

Bon et bien, poster permet aussi de trouver la solution !
apres avoir longtemps cherché, je viens de trouver mon erreur...
en effet, alors que je cherchais dans les nombreux parametres du bundle de la doc,
je m'étais tout simplement trompé dans mon formulaire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<form action="{{ path('fos_user_security_login')}}" method="post">

en lieu et place de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<form action="{{ path('fos_user_security_check')}}" method="post">

Du coup, j'ai immédiatement eu le message d'erreur du CSRF token ...
Pour lequel j'ai ajouté dans mon formulaire

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="hidden" name="_csrf_token" value="{{ csrf_token }}" />

Je découvre totalement ce truc, quelqu'un peut me dire en 2 mots le mecanisme de ce truc ?

**stephan.78** · 07/01/2015, 15h05

Mieux qu'en deux mots un article sur cette attaque

Wikipedia

Bonne découverte

**manuzed78** · 08/01/2015, 09h50

Envoyé par stephan.78

Mieux qu'en deux mots un article sur cette attaque

Wikipedia

Bonne découverte

OK merci
je ne comprends pas trop comment on fait pour éviter cette attaque mais bon ...

**stephan.78** · 08/01/2015, 10h14

Le crsf_token est généré au moment de la création du formulaire. et est stocké en session utilisateur.
Au moment de la soumission du formulaire, il y a vérification de ce token.
Donc s'il n'est pas présent ou mauvais, la requête échoue.

C'est mieux ?

Aide pour FosUserBundle [2.x]

Symfony PHP

Vue hybride

Discussions similaires

Partager

Partager