Externe geschützte REST-Schnittstelle

[dako314]

Hallo zusammen,

ich habe vor innerhalb einer Contao-Anwendung eine geschützte Schnittstelle nach außen anzubieten, damit der Kunde per API-Request Member löschen kann, die nicht mehr benötigt werden.

Dazu habe ich nun im vorhandenen Modul mir überlegt einen Eintrag in der routes.yml vorzunehmen und einen entsprechenden Controller anzulegen, der die Löschung vornehmen kann.

PHP-Code:

dakitec_xxx.member_controller.delete_callback:
  path: /api/member/{email}/delete
  defaults:
    _scope: frontend
    _controller: Dakitec\xxx\Controller\MemberController::deleteCallback 


Wie kann ich solch eine Route absichern? Denn ansonsten könnte diese ja einfach jeder aufrufen? Gibt es da von Haus aus Möglichkeiten oder programmiere ich am besten selbst etwas? Ich hatte irgendwie an einen API-Key oder einen Login mit dem Backend-User gedacht. Was hat es in dem Zusammenhang mit dem Attribut "_scope" auf sich? Das ist bei mir noch auf "frontend" gesetzt, habe gesehen es gibt auch "backend".

Ich danke euch für eure Antworten.

Viele Grüße
Daniel Koch

[Spooky]

Dafür machst du am besten einen eigenen Eintrag in der Symfony Firewall. Das einfachste Beispiel dazu wäre eine HTTP Basic Authentication, da das keinen zusätzlichen Code erfordert (für einen User Provider) - wenn es ok ist, dass Benutzername & Passwort direkt in PHP hardgecodet ist. In der Contao Managed Edition kannst du die Firewall über ein Contao Manager Plugin anpassen.

Beispiel inklusive Route Definition, Controller & Contao Manager Plugin:

PHP-Code:

# config/routes.yml
app.controller:
    resource: ../src/Controller
    type: annotation 


PHP-Code:

// src/Controller/Api/ExampleApiController.php
namespace App\Controller\Api;

use Symfony\Component\HttpFoundation\JsonResponse;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\Response;
use Symfony\Component\Routing\Annotation\Route;

/**
 * @Route("/api/example",
 *   name=ExampleApiController::class,
 *   methods="GET",
 *   condition="request.headers.get('Content-Type') matches '|application/json|i'"
 * )
 */
class ExampleApiController
{
    public function __invoke(Request $request): Response
    {
        return new JsonResponse('Hello World!');
    }
} 


PHP-Code:

// src/ContaoManager/Plugin.php
namespace App\ContaoManager;

use Contao\ManagerPlugin\Config\ContainerBuilder;
use Contao\ManagerPlugin\Config\ExtensionPluginInterface;
use Symfony\Component\Security\Core\User\User;

/**
 * Plugin for the Contao Manager.
 */
class Plugin implements ExtensionPluginInterface
{
    public function getExtensionConfig($extensionName, array $extensionConfigs, ContainerBuilder $container)
    {
        if ('security' !== $extensionName) {
            return $extensionConfigs;
        }

        foreach ($extensionConfigs as &$extensionConfig) {
            if (isset($extensionConfig['firewalls'])) {
                // Set the password encoder for our user
                $extensionConfig['encoders'][User::class] = 'auto';

                // Define a new in-memory user provider
                $extensionConfig['providers']['app.api_user_provider'] = [
                    'memory' => [
                        'users' => [
                            'api' => ['password' => '…'],
                        ],
                    ],
                ];

                // Insert a new firewall entry before Contao's for routes starting with /api/* and use our user provider
                $offset = (int) array_search('contao_frontend', array_keys($extensionConfig['firewalls']), true);

                $extensionConfig['firewalls'] = array_merge(
                    \array_slice($extensionConfig['firewalls'], 0, $offset, true), [
                        'app_api' => [
                            'pattern' => '/api/*',
                            'http_basic' => ['realm' => 'API'],
                            'provider' => 'app.api_user_provider',
                            'stateless' => true,
                        ],
                    ],
                    \array_slice($extensionConfig['firewalls'], $offset, null, true)
                );

                break;
            }
        }

        return $extensionConfigs;
    }
} 


Dieses Contao Manager Plugin fügt vor der Contao Firewall einen weiteren Eintrag für alle Routes ein, die mit /api/ beginnen. Für diese Routes muss man sich dann über HTTP Basic Authentication mit Benutzername und Passwort authentifizieren.

Nach anlegen der Dateien (im speziellen des Contao Manager Plugins) composer install ausführen.


Benutzername und Passwort ist in dieser Zeile festgelegt, wobei das Passwort verschlüsselt sein muss:

PHP-Code:

'api' => ['password' => '…'], 


Das verschlüsselte Passwort kannst du dir auf der Konsole folgendermaßen erzeugen lassen: vendor/bin/contao-console security:encode-password

Symfony fragt dich danach, für welche User Klasse du ein Passwort erzeugen möchtest. Hier wählst du in diesem Fall Symfony\Component\Security\Core\User\User (nicht Contao\User), da wir diese Klasse in unserem Firewall Eintrag definiert haben.

PHP-Code:

$ vendor/bin/contao-console security:encode-password

Symfony Password Encoder Utility
================================


 For which user class would you like to encode a password? [Contao\User]:
  [0] Contao\User
  [1] Symfony\Component\Security\Core\User\User
 > 1
1

 Type in your password to be encoded:
 >

 ------------------ ---------------------------------------------------------------------------------------------------
  Key                Value                                                                                             
 ------------------ ---------------------------------------------------------------------------------------------------
  Encoder used       Symfony\Component\Security\Core\Encoder\MigratingPasswordEncoder
  Encoded password   $argon2id$v=19$m=65536,t=4,p=1$ckZUelBJSXhEdHNxTTNlZw$6xy6DoIAR624uN7RWWlGh3JvJUU7GGEPjGTUh0hSj4Q
 ------------------ ---------------------------------------------------------------------------------------------------

 ! [NOTE] Self-salting encoder used: the encoder generated its own built-in salt.                                       

                                                                                                                        
 [OK] Password encoding succeeded 


Das Encoded password kopierst du dir dann und fügst es im Contao Manager Plugin an der entsprechenden Stelle ein.

[Spooky]

Was hat es in dem Zusammenhang mit dem Attribut "_scope" auf sich? Das ist bei mir noch auf "frontend" gesetzt, habe gesehen es gibt auch "backend".

Siehe dazu:

• https://docs.contao.org/dev/framewor...#request-scope
• https://docs.contao.org/dev/referenc...st-attributes/
• https://docs.contao.org/dev/guides/b...r-and-template

[dako314]

Das hört sich vielversprechend an. Danke für die ausführliche Antwort.

PS: Du hast bisher hier 99% meiner Contao-Probleme gelöst! Schade, dass deine Amazon-Wunschliste leer ist

Viele Grüße,
Daniel

[Spooky]

PS: Du hast bisher hier 99% meiner Contao-Probleme gelöst! Schade, dass deine Amazon-Wunschliste leer ist

Man kann mich stattdessen auf GitHub sponsorn https://github.com/sponsors/fritzmg

Siehe dazu auch https://youtu.be/ggGEK9bqjfY?t=716

[dako314]

Das mit der Firewall hat nun super geklappt.

PS: Das Sponsoring übrigens auch - cool, dass es sowas gibt

[paddibr]

ich habe das Beispiel mal ausprobiert. Unter der 4.13 bekommt man nach dem Login:

HTML-Code:

Call to a member function authenticate() on null

EDIT: Der Controller musste bei mir entsprechend angepasst werden (Condition und Scope), dann läuft's

[slr82]

Ich stehe gerade vor dem gleichen Problem und möchte meine API Schnittstelle mit einer eigenen Firewall schützen.
Jetzt sieht es aber so aus, als ob das Contao-Manager-Plugin für diese Version nicht funktioniert.

Darum hab ich jetzt versucht es in der /config/security.yaml selbst so zu konfigurieren:

Code:

security:
    firewalls:
        api:
            pattern: ^/api
            user_checker: App\Security\UserChecker
            access_token:
                token_handler: App\Security\AccessTokenHandler
    access_control:
        - { path: ^/api, roles: ROLE_USER }

Das scheint aber gar keine Auswirkungen zu haben.
Hat jemand eine Idee oder einen Hinweis für mich?

[Spooky]

Ich bin mir nicht sicher ob eine security.yaml in der Contao Manged Edition automatisch geladen wird. Selbst wenn würdest du dir damit die Contao Firewalls komplett überschreiben, da die Firewall Config von Symfony nicht gemerged wird, soweit ich weiß - daher der Weg über das Manager Plugin.

[slr82]

OK, das heißt, ab Contao 5 wird es, dadurch dass das Manager Plugin nicht mehr funktioniert, etwas kompliziert eine Firewall zu erstellen?
Zumindest muss man dann wohl tiefer in die Eingeweide von Contao um das umzusetzen. Hatte eigentlich gedacht mit der neueren Version wird mehr einfach

[Spooky]

Mit Contao an sich hat das nichts zu tun, sondern mit Symfony - egal in welcher Contao Version (zumindest ab Contao 4.5).

Die Vorgehensweise an sich funktioniert sicher auch in Contao 5 - was aber angepasst werden muss kann ich dir nicht aus dem FF sagen - man muss sich, wie du schon sagst, mit den "Eingeweiden" beschäftigen . Aber mit den Eingeweiden von Symfony.

[Spooky]

Hatte eigentlich gedacht mit der neueren Version wird mehr einfach

Das ist auch der Fall. In Symfony 6 hat sich die Security Component sehr stark geändert und vieles wurde vereinfacht.

[slr82]

So, ich hab mich jetzt mal etwas damit auseinander gesetzt.

Generell denke ich, sollte das eine machbare einfache Lösung sein, ich bin mir allerdings nicht sicher, ob ich den User nachher so richtig einlogge.

Ich habe mir eine Klasse erstellt die Symfony\Component\EventDispatcher\EventSubscriberI nterface implementiert.
Dort führe ich dann meinen Code beim KernelEvents::CONTROLLER Event aus.

Hier kann ich dann auch prüfen, ob es sich um einen API Request handelt.
Wie, weiß ich noch nicht genau, evtl. mit der Request URL oder ich lass meine API Klassen ein bestimmtes Interface implementieren auf das ich dort dann prüfen kann.

Wenn dort der richtige Token im Request gesetzt ist, würde ich jetzt gerne auch an der Stelle den entsprechenden FrontendUser / Member einloggen.

Mittels dependency injection hole ich mir dazu im Konstruktor folgende beiden Klasseninstanzen:
private Security $security,
private ContaoFramework $framework

Und führe dann folgenden Code für den Login aus:

PHP-Code:

$this->framework->initialize();

$member = FrontendUser::getInstance();
$member->findBy('username', 'xyz');

$this->security->login($member, 'security.authenticator.remember_me.contao_frontend', 'contao_frontend'); 


Das ist jetzt natürlich noch ein statischer User und wird später anhand von dem übergebenen Token gemacht.

Im Controller der danach ausgeführt wird, ist der User dann auch eingeloggt und ich kann damit normal weiter arbeiten.

Meine Frage ist jetzt, macht das so sinn, oder ist das total hacky und sollte besser anders umgesetzt werden?

[Spooky]

Du solltest das auf jeden Fall über die Firewall machen. Nachdem du hier von Contao Frontend Mitgliedern sprichst ist es wohl am besten, dass dein Controller den Contao frontend _scope nutzt und du die Firewall um einen Authenticator erweiterst.

[slr82]

Ich habe aber keine Möglichkeit gefunden die Firewall zu erweitern. In Symfony muss ich das ja eigentlich mit config/packages/security.yaml machen.
Aber die Möglichkeit habe ich ja, so wie ich das verstanden habe mit Contao 5+ nicht so einfach.

Deswegen der weg über die Event Subscription, was laut Symfony Dokumentation sogar mit Tokens zum Seitenschutz als Beispiel gezeigt wird (token-validation-example)

Und dem Login habe ich auch so von der Symfony Doku (login-programmatically).

Problem, dass ich jetzt eben auch hatte, ich kann mir in der Firewall keinen eigenen Authenticator registrieren, weil ich das in den yaml-Configurationsdateien nicht setzen kann.

Selbst wenn ich dort in der config.yaml meinen eigenen Import der security.yaml einbinde:

HTML-Code:

imports:
    - { resource: security.yaml }

Das führt nur zu einer Fehlerausgabe, die mir sagt, ich kann die firewall nur an einer Stelle konfigurieren.

[Spooky]

Ich habe aber keine Möglichkeit gefunden die Firewall zu erweitern. In Symfony muss ich das ja eigentlich mit config/packages/security.yaml machen.
Aber die Möglichkeit habe ich ja, so wie ich das verstanden habe mit Contao 5+ nicht so einfach.

Unabhängig von der Contao Version machst du das über ein Contao Manager Plugin (siehe meine vorigen Posts). Mit Contao 5 hat das nichts zu tun.

Das führt nur zu einer Fehlerausgabe, die mir sagt, ich kann die firewall nur an einer Stelle konfigurieren.

Genau - wie gesagt musst du in der Contao Managed Edition dafür ein Contao Manager Plugin nutzen, um die Firewall bspw. mit zusätzlichen Authenticators zu versehen. Sowohl in Contao 4 als auch in Contao 5.

[slr82]

Ok, sorry, dann hatte ich das vorhin falsch verstanden. Ich hatte ein Plugin gefunden das 'Contao Manager Plugin' heißt, aber nicht mit Contao 5+ geht.
Das es Plugins vom Typ 'Manager Plugin' gibt, war mit so irgendwie noch nicht bewusst.
Dann erst mal vielen Dank soweit. Ich werd mir das morgen mal genauer anschauen.

[Spooky]

Ich hatte ein Plugin gefunden das 'Contao Manager Plugin' heißt, aber nicht mit Contao 5+ geht.
Das es Plugins vom Typ 'Manager Plugin' gibt, war mit so irgendwie noch nicht bewusst.

Ich weiß jetzt leider nicht genau was du damit meinst. Mit "Contao Manager Plugin" bzw. "Manager Plugin" ist das selbe gemeint: https://docs.contao.org/dev/framework/manager-plugin/

[zoglo]

Ich weiß jetzt leider nicht genau was du damit meinst. Mit "Contao Manager Plugin" bzw. "Manager Plugin" ist das selbe gemeint: https://docs.contao.org/dev/framework/manager-plugin/

Wahrscheinlich Plugins, welche registriert werden:
https://docs.contao.org/dev/framework/manager-plugin/

[Spooky]

Auch da gibt es keinen Unterschied im Inhalt der Plugins.

[slr82]

Ich hatte irgendwie eine Erweiterung/Paket für Contao gefunden, dass so hieß, weiß jetzt aber nicht mehr was ich da für nen Müll gefunden hatten. Das war aber nicht kompatibel mit Contao 5. Irgendwie war mir nicht bewusst, oder ich hab wohl nicht genau genug gelesen, dass das eine spezielle Art von Plugin ist. Aber gut, ich habs jetzt dank deiner Hilfe geschafft.

Ich registriere mir mit dem Manager Plugin meine eigene Firewall, das klappt einwandfrei:

Code:

'api' => [
   'stateless' => true,
   'pattern' => '^/api(/|$)',
   'provider' => 'contao.security.frontend_user_provider',
   'custom_authenticator' => ApiTokenAuthenticator::class,
]

Dabei kann ich sogar den Standard User Provider von Contao nutzen, da ich ja eh mit der Member Klasse arbeiten will.
Ich musste mir nur einen eigenen Authenticator schreiben der AbstractAuthenticator erweitert, aus dem Request den Token ließt und entsprechend den passenden UserBadge zurück liefert.
Also eigentlich doch viel einfacher wie gedacht

Nochmal vielen Dank für die Hilfe und die Ausdauer mit meiner Blödheit

[Spooky]

Genau so macht man das, ja . Und wie gesagt ist das in Symfony 6+ (ab Contao 5) noch einfacher als vorher.