标签归档安全

自从接手公司一个商派二开项目之后，跟 Symfony 的接触越来越少了，但我还是保持关注 Symfony 的进展，已经成为了一种习惯。不得不说很早接触 Symfony 是一件幸运的事情，对我来说它不仅是一个框架，或者一堆组件、它更是一本自己会不断成长的教程，教会我不少东西。

最近 Bootstrap 4 已经正式发布了，可能已经有爱尝鲜的小伙伴在 alpha 阶段就尝试过 BS4。不过今天要说的不是 BS4，而是官网里引入 BS4 框架依赖的 jQuery 的代码：

当前已是 2017 年，似乎现在还来说 OAuth 2.0 的话题有点过时了，不过很多新人在使用 OAuth 2.0 的时候，也就是照着微信、微博的文档按部就班，不求甚解。而很多细节，微信微博之类的文档自然也是不多说。但如果不了解 OAuth 2.0 的美妙之处，该注意的地方不注意，可是会有安全风险的哦。

其实 Symfony Guard 已经发布很久了，很早就想写一篇相关的教程，趁最近一个项目有用到它，正好可以作为一个实例，跟大家展示一下 Guard 的用法。

如果大家看过我之前的教程系列，应该都已经成功实现了用户注册/登录功能。但 Symfony 的防火墙内部到底都做了什么事情？或者说如果我们想自己创建一种新的防火墙，应该怎么做？

Symfony 框架是一个高组件化的框架，也导致 Symfony 的运用非常灵活。用户身份认证系统，就是一个典型。

其实任何一种技术，原理应该是比具体实现的代码要更重要的，所以本章我打算尽量少写代码，而是通过阐述原理的方式尽量让大家理解 Symfony 的身份验证技术。

这是 Fabien Potencier 及其团队对 PHP 社区做的又一贡献，他本人已经发表了一篇博客，这里我就不再重复介绍，直接翻译精简一下。

在过去相当长一段时间里，我认为登录是不需要 CSRF 保护的。我的想法是，让受害者做一些“需要权限并能改变数据”的事情才是 CSRF 的『人生目标』。而登录却是不需要权限也不会改变数据（当然，日志，或者积分什么的还是会创建，只不过不能给攻击者带来什么实质性的好处），所以 CSRF 保护一个登录表单能有什么用呢。

后来得知“Login CSRF”这个术语之后，专门上网查阅了一下，才发现事情没这么简单，原来还可以这么玩儿：