我有一条通过 id 查找用户的路由。我想在个人资料上显示不同的内容,具体取决于用户是访问自己的个人资料还是其他用户的个人资料。
控制器中的方法:
/**
* @Route("/u/{id}", name="profile_show")
* @ParamConverter("user", class="UserBundle:User")
* @Template()
*/
public function showAction(User $user)
{
$auth = $this->getUser();
if ($user->getId() == $auth->getId()) {
$auth->addRole('ROLE_PROFILE_OWNER');
}
return array(
'user' => $user
);
}
树枝中的输出:
{% if is_granted('ROLE_PROFILE_OWNER') %}
<p>This is my profile</p>
{% else %}
<p>This is not my profile</p>
{% endif %}
如果我执行 {{ dump(app.user) }},该角色会显示在用户身上,但它输出的文本表明它不是我的配置文件。有人知道为什么这不起作用吗?
我也不知道这是否真的是做这样事情的正确方法。我想遵循最佳实践,所以如果这是完全错误的,请启发我。
感谢您的任何帮助。
凭据
检查在执行showAction()之前进行,因此$auth->addRole('ROLE_PROFILE_OWNER');行永远不会运行。这就是为什么您总是收到"这不是您的个人资料"消息的原因。
此外,不应使用用户角色来执行此类配置文件所有权检查。相反,只需比较登录用户的id(存储在会话中)和配置文件user_id。如果它们不一样,则抛出AccessDeniedException().
查看文档保护控制器和会话管理页面。