Discussion :

[loustalet]

Bonjour,

Je travaille sur la sécurité symfony 4.4 et je m'interroge sur l'intérêt de créer plusieurs pare-feu.
Après mes tests, il me semble que le pare-feu d'origine à peine retouché fonctionne dans tous les cas.

Code yaml :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false
 
        main:
            anonymous: lazy
            provider: app_user_provider
            guard:
                authenticators:
                    - App\Security\ApplicationAuthenticator
            logout:
                path: app_logout
                # where to redirect after logout
                target: home

Les autorisations se gérant dans la partie access_control et/ou dans les contrôleurs et/ou dans twig pour l'affichage.
Est-ce vrai de dire qu'on peut créer un deuxième pare-feu si certaines parties de l'application sont accessibles par d'autres modes d'authentification que celui indiqué dans le main ?
Sinon, si on gère toute l'authentification par un formulaire de login, quel est l'intérêt d'avoir plusieurs pare-feu ?
Merci pour vos éclaircissements.

[kevin254kl]

Bonjour,

Cela va dépendre de ton besoin.
Mais généralement il y en a au moins deux
- Pour les assets publique
- Pour la partie sécurisé

Un firewall ajoute un comportement exemple l'authentification peut-être différente pour ton api et ton application web en tant que tel exemple https://github.com/EnMarche/en-march.../security.yaml.
Il ne faut pas confondre authentifications et autorisation https://www.kaspersky.fr/blog/identi...ference/15708/

[loustalet]

Bonjour Kevin,

Merci pour ta réponse qui est complète avec l'exemple à l'appui.
Je fais bien la différence depuis le début entre authentification et autorisation.
Bonen sontinuation