symfonycasts
Создавайте реальные проекты от начала до конца с помощью красивых видеоуроков. Веселиться! Мы обещаем энергию, анимацию космического корабля и смущающие (я имею в виду умные) шутки.
Продолжительность
4 ч 41 мин
Категория
SymfonyКоличество уроков
39 Видео
Дата добавления
4 нояб. 2019 г., 22:15
Язык
Английский
Дата выхода
6 окт. 2019 г., 00:00
Дата обновления
29 апр. 2026 г., 05:19
Безопасность в API Platform — ключевой элемент для создания надежных и управляемых API. В этой части курса вы узнаете, как защитить свои эндпоинты, настроить роли и права доступа, использовать аутентификацию и внедрить гибкие механизмы контроля.
Зачем нужна безопасность в API Platform
Даже идеально спроектированный API становится уязвимым, если в нём отсутствуют инструменты защиты. API Platform предоставляет продвинутые возможности для работы с доступом и аутентификацией, но они требуют грамотной настройки.
Основные цели безопасности
- Ограничение доступа к ресурсам
- Защита данных пользователя
- Контроль над операциями CRUD
- Минимизация атакованных поверхностей
Аутентификация в API Platform
API Platform поддерживает различные способы аутентификации, позволяя выбрать подходящий вариант для любого проекта.
Поддерживаемые механизмы
- JWT — стандартный и наиболее популярный вариант
- Session / Cookie-based
- OAuth2 и OpenID Connect
- Custom Authenticator (Symfony Security)
Когда использовать JWT
JWT отлично подходит для SPA, мобильных приложений и микросервисов. Он легко интегрируется со стеком API Platform и имеет высокую производительность.
Авторизация и управление доступом
После аутентификации важно контролировать, какие действия пользователь может выполнять в системе.
Варианты авторизации
- Voter — гибкий механизм ручного контроля
- Security Expressions — быстрые проверки на уровне ресурсов и операций
- Access Control в конфигурации безопасности
Использование Security Expressions в ресурсах
API Platform позволяет легко добавлять проверки доступа в аннотации или YAML/attributes.
Пример
#[ApiResource(
security: "is_granted('ROLE_ADMIN')",
securityMessage: "У вас нет прав для доступа к этому ресурсу."
)]
Безопасность операций CRUD
Для каждой операции (GET, POST, PUT, DELETE) можно задать собственные правила безопасности.
Типичные сценарии
- Ограничение создания ресурса авторизованными пользователями
- Редактирование только владельцем ресурса
- Удаление — только ролью администратора
Лучшая практика безопасности API Platform
Чтобы ваш API был максимально защищён, соблюдайте ключевые рекомендации.
- Используйте HTTPS
- Минимизируйте доступные поля через Serialization Groups
- Используйте Voters для сложных проверок
- Логируйте подозрительные действия
Итог
Безопасность — фундамент надёжного API. Во второй части курса вы научитесь использовать встроенные инструменты API Platform для защиты данных, контроля доступов и создания безопасной архитектуры.
- Урок 1.00:08:55Hello API Security + API Docs on Production?
- Урок 2.00:04:05API Auth 101: Session? Cookies? Tokens?
- Урок 3.00:06:28Login with json_login
- Урок 4.00:05:56Authentication Errors
- Урок 5.00:04:28Login Success & the Session
- Урок 6.00:07:40On Authentication Success
- Урок 7.00:08:50Logout & Passing API Data to JS on Page Load
- Урок 8.00:08:07SameSite Cookies & CSRF Attacks
- Урок 9.00:06:03ApiResource access_control
- Урок 10.00:04:30Bootstrapping a Test Suite
- Урок 11.00:05:01Backport the API Platform 2.5 Test Tools
- Урок 12.00:06:51Api Tests & Assertions
- Урок 13.00:06:57Logging in Inside the Test
- Урок 14.00:04:51Resetting the Database Between Tests
- Урок 15.00:08:31Base Test Class full of Goodies
- Урок 16.00:09:24ACL: Only Owners can PUT a CheeseListing
- Урок 17.00:08:05ACL & previousObject
- Урок 18.00:08:25Access Control & Voters
- Урок 19.00:07:31Adding the plainPassword Field
- Урок 20.00:08:04Data Persister: Encoding the Plain Password
- Урок 21.00:05:45Validation Groups
- Урок 22.00:06:43Conditional Field Setup
- Урок 23.00:09:23Testing, Updating Roles & Refreshing Data
- Урок 24.00:05:41Context Builder & Service Decoration
- Урок 25.00:05:41Context Builder: Dynamic Fields/Groups
- Урок 26.00:06:50Automatic Serialization Groups
- Урок 27.00:07:48Resource Metadata Factory: Dynamic ApiResource Options
- Урок 28.00:05:59Dynamic Groups without Caching
- Урок 29.00:08:46Custom Normalizer: Object-by-Object Dynamic Fields
- Урок 30.00:10:35Diving into the Normalizer Internals
- Урок 31.00:09:31A "Normalizer Aware" Normalizer
- Урок 32.00:04:49Normalizer & Completely Custom Fields
- Урок 33.00:06:49Locking down the CheeseListing.owner Field
- Урок 34.00:07:33Custom Validator
- Урок 35.00:08:16Security Logic in the Validator
- Урок 36.00:06:47Auto-set the Owner: Entity Listener
- Урок 37.00:09:46Query Extension: Auto-Filter a Collection
- Урок 38.00:05:22Automatic 404 on Unpublished Items
- Урок 39.00:10:51# Filtering Related Collections
Автор - symfonycasts
Комментарии