Nous mettrons à jour notre Politique de confidentialité prochainement. En voici un aperçu.

Découvrir API Platform

Sécuriser des routes par token

Testez gratuitement nos 1336 formations

pendant 10 jours !

Tester maintenant Afficher tous les abonnements
Grâce aux tokens, vous pouvez accéder aux routes sécurisées. Dans cet exercice, vous allez créer une configuration, bloquer des routes, puis vous allez vous identifier.
03:19

Transcription

À partir de là, vous avez un système de « token », ce qui va être intéressant, c'est de savoir comment faire pour bloquer une route. Vous allez simplement mettre à jour un petit peu votre « security.yml », en rajoutant une section « Main », celle-ci, avec un pattern, un provider « fos_userbundle », «stateless » à true, « anonymous » à true et ici un « lexik jwt » avec un title, et, en faisant ça, vous allez pouvoir ouvrir ou fermer des routes. Par défaut, si une route n'est pas définie à cet endroit-là, elle va être ouverte par défaut. Exemple, si je veux récupérer la liste des tasks, je vais simplement faire « Send », comme ça, et là, c'est ouvert, donc, j'ai possibilité de récupérer. Maintenant, si j'ai envie de bloquer des tasks, imaginons que ma task, j'ai envie que ce soit accessible, que si on est authentifié. On va ajouter ici un « fully », « is_authenticated_fully », ça veut dire que si mon utilisateur n'est pas authentifié, mais il n' a pas accès à cette route. Si j'envoie la requête à partir de maintenant, on va me dire que j'ai des « Bad credentials », parce que je suis obligé d'authentifier mes requêtes. Alors, comment j'authentifie mes requêtes ? C'est très simple. Pour authentifier les requêtes, vous avez un token qui se trouve ici. Donc, vous allez récupérer ce token, ici, et vous allez simplement, quand vous allez effectuer une requête vers un URL, devoir vous authentifier avec un « Header ». Ce header, c'est celui-ci. « Authorisation », « Bearer » et un espace, bien évidemment ici, avec le token derrière. Donc, si on récupère cette partie-là et que maintenant on va la mettre ici, dans « Authorisation », on va simplement coller cette partie-là qui est, donc, barrier l'espace, et on va faire « Send », on va, à ce moment-là, être authentifié par le Web service parce que nous avons un token valide, jusqu'à « Expiration », évidemment, « Expiration », elle sera plus valide, et on se retrouvera, comme avant, avec « Bad credentials », mais pour le moment, on est authentifié, on a accès. Bien sûr, sur les routes où on n'a rien mis, par exemple, ici, je retire le « Bearer », si j'envoie Users elle n'est pas bloquée, pour le moment, je peux récupérer. C'est la même chose, si j'ai envie de bloquer cette route je vais simplement lui rajouter ici que cette route-là, elle est bloquée et à partir de là, je vais être obligé de m'authentifier pour récupérer la liste des utilisateurs. Vous pouvez utiliser ce que vous voulez, vous pouvez aussi créer un passe particulier, par exemple, un « Slash API » sur lequel vous dites qu'absolument tout ce qui est derrière Slash API, est bloqué, à vous après d'organiser vos routes, comme vous le souhaitez. À partir du moment où vous définissez des routes, comme étant obligatoirement authentifié, il faudra fournir un barrière pour pouvoir accéder à la route. C'est comme ça que ça va marcher. Donc, on va avoir un « Security.yml » qui va nous autoriser absolument tout, mais qui vont aussi nous permettre ici, grâce à cette ligne-là, de bénéficier de l'authentification par tokens là où on demandera d'être authentifié. À partir de là, tout est magique, tout est simple, et tout est fonctionnel très rapidement. Donc, vous voyez qu'avec ce système-là, on va bénéficier d'un système d'authentification qui est super puisqu'on va avoir, par exemple, un client JavaScript qui va effectuer une requête de connexion qui va stocker le token et qui vont ensuite constituer ces requêtes en utilisant Barrière tout simplement dans ces requêtes en Header pour pouvoir effectuer des requêtes vers des Web services sécurisés, et on vient de sécuriser notre API avec des tokens qui sont orientés pour le Web.

Découvrir API Platform

Prenez en main le framework API Platform. Voyez comment effectuer sa configuration, créer des services web de données, et réalisez ainsi efficacement une application complète.

3h24 (54 vidéos)
Aucun commentaire n´est disponible actuellement
 

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !