Fosuserbundle / Symfony2: Force Déconnexion d'un utilisateur donné un utilisateur (non connecté actuellement)
https://stackoverflow.com//questions/9630032
-
09-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Chaque fois que je modifie le rôle d'un utilisateur, l'utilisateur doit se déconnecter et se connecter pour voir les modifications.Il n'y a pas de problème lors de la promotion d'un utilisateur car ils ne verront tout simplement pas les autorisations supplémentaires avant de se connecter.Cependant, lorsqu'une rétrograde devait se produire, un utilisateur tiendra toujours son rôle existant qui imposent des risques de sécurité.Imaginez une révocation d'un utilisateur administrateur sur un employé voyou et les avoir toujours en mesure de faire quoi que ce soit (par exemple, saboter le système) jusqu'à ce qu'ils se déconnectent!
est-il possible d'invalider toutes les sessions ou jetons liés à un utilisateur spécifique?S'il y a un autre moyen de mettre à jour de manière dynamique les rôles d'un utilisateur sans les enregistrer, j'aimerais l'entendre!
Juste pour préciser, je n'essaie pas d'invalider la session / jeton de l'utilisateur actuellement connecté.
Merci d'avance!
La solution
Symfony stores serialized token object under _security_match_firewall_name key in session. You can unserialize it, filter role and then save it again. For reading/saving session values you can use PdoSessionStorage. You may have to create an extra table for tracking users session.
