FOS User Bundle jede Rolle außer ADMIN ist gesperrt

Question

Ich habe ein Symfony 3 CRM mit FOS User Bundle für den Login installiert. Das Problem ist, dass die meisten Benutzer dieses CRM-Systems Ingenieure eines Unternehmens sind, die nur bestimmte Teile sehen dürfen. Daher habe ich eigens ein eigenes Dashboard erstellt. Admin-Benutzer können alles sehen und einfach zum Haupt-Dashboard umleiten. Es scheint jedoch, dass nur Benutzer mit ROLE_ADMIN auf das CRM zugreifen dürfen, und alle anderen Benutzer werden abgelehnt, unabhängig davon, wohin sie gehen.

Hier ist meine Sicherheitsdatei:

security: 
    encoders: 
     FOS\UserBundle\Model\UserInterface: bcrypt 

    role_hierarchy: 
     ROLE_STAFF:  ROLE_USER 
     ROLE_ADMIN:  ROLE_STAFF 
     ROLE_SUPER_ADMIN: ROLE_ADMIN 

    providers: 
     fos_userbundle: 
      id: fos_user.user_provider.username 

    firewalls: 
     main: 
      pattern: ^/ 
      form_login: 
       provider: fos_userbundle 
       csrf_token_generator: security.csrf.token_manager 
       # if you are using Symfony < 2.8, use the following config instead: 
       # csrf_provider: form.csrf_provider 
       use_referer:  false 
       success_handler: login_success_handler 

      logout:  true 
      anonymous: true 

    access_control: 
     - { path: ^/login$, role: IS_AUTHENTICATED_ANONYMOUSLY } 
     - { path: ^/register, role: IS_AUTHENTICATED_ANONYMOUSLY } 
     - { path: ^/resetting, role: IS_AUTHENTICATED_ANONYMOUSLY } 
     - { path: ^/, role: ROLE_ADMIN } 
     - { path: ^/staff-dashboard, role: ROLE_STAFF } 

Wie Sie sehen, ich habe eine benutzerdefinierte Rolle erstellt genannt ROLE_STAFF, die Ingenieure zugeordnet (oder Mitarbeiter), und sie sind die staff-dashboard Link zu sehen erlaubt. Ich habe einen Testbenutzer mit der ROLE_STAFF Rolle, aber ich kann staff-dashboard noch nicht sehen.

Ich habe auch die folgenden if-Anweisung in meinem Controller, so dass es alle diese Benutzer umleitet, die nicht an das Personal-Armaturenbrett Leiter:

if($userRole === "ROLE_ADMIN") { 
    return $this->render('AppBundle:pages:dashboard.html.twig', array(
     'latest' => $latest, 
     'cashflow_chart' => $ob, 
     'job_chart' => $ob2 
    )); 
} else { 
    return $this->redirectToRoute('app_staff_dashboard'); 
} 

Aber noch einmal, das funktioniert nicht.

Jede Hilfe mit diesem wird geschätzt - ich habe noch keine feste Lösung gefunden.

Answer 1

Zugriffskontrollregeln werden in der Reihenfolge verarbeitet, die in der Konfiguration angegeben ist. Die erste übereinstimmende Regel (übereinstimmender Pfad) wird überprüft und die Verarbeitung wird gestoppt.
Für Ihren Fall passen 2 Regeln zum Pfad /staff-dashboard: 1 - { path: ^/, role: ROLE_ADMIN } und 2 - { path: ^/staff-dashboard, role: ROLE_STAFF }. Der erste wird überprüft. Mitarbeiterbenutzer bestehen diese Regel nicht.
Ändern Sie die Reihenfolge dieser 2 Regeln.