在捆绑配置

Question

定义角色我对角色的一些问题，我想明白了很久：

我们有一些捆绑，我们在几个项目中使用。我们希望在bundle配置中定义角色，这样我们就不会将角色复制到security.yml中的role_hierarchy中。有没有干净的方法来做到这一点？

我的第一个想法是将其导入role_hierarchy这样的：

role_hierarchy: 
    ROLE_ADMIN:        ROLE_USER, ROLE_TRANSLATOR 
    ROLE_SUPER_ADMIN:      ROLE_ADMIN 
    ROLE_NOT_APPROVED_USER:     ROLE_USER 
    ROLE_TRANSLATOR:      ROLE_USER 
    "%base_bundle.role.hierarchy%" 

当然，这是行不通的。有没有可能这样做（在yaml中合并数组）？

我的另一个想法是将角色存储在数据库中，但在我看来这是过度杀毒，因为我们没有动态角色。一切都是静态的。

是否有任何解决方法来实现我尝试做的事情？或者将它定义在一个包中是一个好主意？

2.我用角色权限（ROLE_POST_EDIT，ROLE_POST_DELETE ...）和选民拒绝或批准对资源的访问。所以最后有很多角色。将角色与权限混合使用是一个好主意吗？如果不是最佳做法是什么？

编辑：我觉得ROLE_POST_EDIT和ROLE_USER或ROLE_ADMIN之间的差异。用户有ROLE_USER，因为他是用户。但用户有“权限ROLE_EDIT_POST”才能编辑帖子。在我看来，有一个区别。无论如何，我应该关心这种差异还是有其他的做法如何做？

Answer 1

1. 我们在几个项目中使用了一些捆绑包。我们希望在bundle config中定义角色，这样我们就不会将角色复制到security.yml中的role_hierarchy中。有没有干净的方法来做到这一点？

可以使用另一部分的Prepended Extensions到 “前面加上” 配置：

class AcmeHelloExtension extends Extension implements PrependExtensionInterface 
{ 
    // ... 

    public function prepend(ContainerBuilder $container) 
    { 
     $container->prependExtensionConfig('security', [ 
      'role_hierarchy' => [ 
       'ROLE_ADMIN' => ... 
       ... 
      ], 
     ]); 
    } 
} 

我用角色的权限（ROLE_POST_EDIT，ROLE_POST_DELETE。 ..）和选民拒绝或批准访问资源。所以最后有很多角色。将角色与权限混合使用是一个好主意吗？如果不是最佳做法是什么？

小misconfusion在这里：你role_hierarchy定义的角色不与您传递给isGranted()的事情。您将属性传递给isGranted()。不幸的是，对于RoleHierarchyVoter，symfony决定将属性similair设置为角色名称（也就是说，如果角色名称以ROLE_开头）。

选民在权限或属性被调用时进行投票。因此，在isGranted()中拥有许多权限是非常有效的。

但是，我建议不要使用ROLE_*来启动它们。这些属性由RoleVoter/RoleHierarchyVoter检查。将它们命名为POST_EDIT，POST_DELETE：

if ($this->isGranted('POST_EDIT', $post)) { 
    // ... 
}