Fosuserbundle / symfony2: Force logout di un utente dato un utente (non l'utente attualmente connesso)

Question

Ogni volta che modifico il ruolo di un utente, l'utente deve disconnettersi e registrare per vedere le modifiche.Non ci sono problemi quando si promuovono un utente in quanto non vedranno le autorizzazioni extra fino ad accedere nuovamente.Tuttavia, quando si verificava una demozione, un utente manterrà comunque il suo ruolo esistente che impongono rischi di sicurezza.Immagina di revocare l'utente amministratore su un dipendente canaglia e li ha ancora in grado di fare qualsiasi cosa (ad esempio sabotando il sistema) finché non si disconnettono!

È possibile invalidare tutte le sessioni o i token relativi a un utente specifico?Se c'è un altro modo per aggiornare dinamicamente i ruoli di un utente senza disconnetterli, mi piacerebbe sentirlo!

Solo per chiarire, non sto cercando di invalidare la sessione / token dell'utente attualmente connesso.

Grazie in anticipo!

Answer 1

Symfony stores serialized token object under _security_match_firewall_name key in session. You can unserialize it, filter role and then save it again. For reading/saving session values you can use PdoSessionStorage. You may have to create an extra table for tracking users session.