Aller au contenu principal

Sécurité Symfony avancée : Voters, attributs et stratégies d’autorisation

Corentin Boutillier
9 min de lecture
4 vues
Symfony

Concevoir des règles d’accès robustes ne se limite pas à empiler des rôles. Avec le composant Security de Symfony, vous pouvez exprimer des permissions métier fines, auditer les décisions et sécuriser vos applications sans fragiliser les performances. Dans cet article, nous allons au-delà de l’authentification (déjà couverte dans d’autres billets) pour explorer en profondeur les voters, les attributs, la hiérarchie de rôles, l’impersonation et l’AccessDecisionManager, avec des exemples concrets et des conseils de production.

Pourquoi aller au-delà des rôles ?

Les rôles comme ROLE_USER ou ROLE_ADMIN sont utiles pour des barrières globales. Mais la plupart des applications ont des règles métier plus subtiles: “un auteur peut éditer son propre article tant qu’il n’est pas verrouillé”, “un éditeur peut publier”, “un modérateur ne peut intervenir que sur certaines catégories”. Ces règles se modélisent mieux via des attributs d’autorisation (permissions métier) évalués par des voters.

Idée clé: gardez les rôles pour la portée organisationnelle (qui vous êtes), et les attributs pour la permission métier (ce que vous pouvez faire).

Attributs d’autorisation vs attributs PHP

Attention au vocabulaire:

  • Attribut d’autorisation: la “permission” passée à is_granted(), ex: POST_EDIT, ORDER_REFUND.
  • Attribut PHP: l’annotation moderne de PHP (#[…]) utilisée, par exemple, pour #[IsGranted(...)] sur une action de contrôleur.

Vous pouvez utiliser les deux ensemble: exprimer une permission métier (attribut d’autorisation) et l’appliquer via un attribut PHP sur une route.

Écrire un Voter propre, rapide et testable

Un voter décide de GRANT/DENY pour un attribut donné et un “sujet” optionnel (l’entité concernée). Il doit être:

  • Statelss et déterministe
  • Rapide (supports() doit être très léger)
  • Focalisé sur un périmètre métier

Exemple: permissions sur une entité Post.

<?php
// src/Security/Voter/PostVoter.php
namespace App\Security\Voter;

use App\Entity\Post;
use Symfony\Component\Security\Core\Security;
use Symfony\Component\Security\Core\Authorization\Voter\Voter;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;

final class PostVoter extends Voter
{
    public const VIEW = 'POST_VIEW';
    public const EDIT = 'POST_EDIT';
    public const PUBLISH = 'POST_PUBLISH';

    public function __construct(private Security $security) {}

    protected function supports(string $attribute, mixed $subject): bool
    {
        return \in_array($attribute, [self::VIEW, self::EDIT, self::PUBLISH], true)
            && $subject instanceof Post;
    }

    protected function voteOnAttribute(string $attribute, mixed $subject, TokenInterface $token): bool
    {
        $user = $token->getUser();
        if (!$user || !\is_object($user)) {
            return false;
        }

        // Raccourci global: un admin passe toujours
        if ($this->security->isGranted('ROLE_ADMIN')) {
            return true;
        }

        /** @var Post $post */
        $post = $subject;

        // Astuce perf: préférez comparer des IDs plutôt que de charger des relations lourdes
        $isAuthor = $post->getAuthorId() === $user->getId();

        return match ($attribute) {
            self::VIEW => $post->isPublished() || $isAuthor,
            self::EDIT => $isAuthor && !$post->isLocked(),
            self::PUBLISH => $this->security->isGranted('ROLE_EDITOR') && !$post->isLocked(),
            default => false,
        };
    }
}

Conseils pratiques:

  • Ne faites pas de requêtes SQL dans voteOnAttribute(): préchargez vos données en amont ou utilisez des IDs sur le sujet.
  • Évitez les effets de bord (pas d’écriture).
  • Si une permission devient trop complexe, extrayez la logique dans un service dédié et injectez-le dans le voter.

Appliquer les permissions: is_granted(), denyAccessUnlessGranted() et attributs PHP

Dans un contrôleur, vous pouvez vérifier une permission métier sur un sujet:

<?php
use App\Entity\Post;
use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
use Symfony\Component\Routing\Annotation\Route;

final class PostController extends AbstractController
{
    #[Route('/posts/{id}/edit', name: 'post_edit')]
    public function edit(Post $post)
    {
        $this->denyAccessUnlessGranted('POST_EDIT', $post);

        // ...
    }
}

Avec les attributs PHP, c’est encore plus lisible:

<?php
use App\Entity\Post;
use Symfony\Component\Security\Http\Attribute\IsGranted;
use Symfony\Component\Routing\Annotation\Route;

final class PostController
{
    #[Route('/posts/{id}/edit', name: 'post_edit')]
    #[IsGranted('POST_EDIT', subject: 'post')]
    public function edit(Post $post)
    {
        // ... exécuté uniquement si la permission est accordée
    }
}

Pour des règles contextuelles, l’attribut #[Security] accepte des expressions:

<?php
use Symfony\Component\Security\Http\Attribute\Security;

#[Security("is_granted('POST_EDIT', post) or (is_granted('ROLE_MODERATOR') and post.category in user.moderatedCategories)")]

Astuce: is_granted() accepte un tableau d’attributs. Avec la stratégie “affirmative”, si l’un est accordé, l’accès est autorisé:

if ($this->isGranted(['POST_EDIT', 'ROLE_ADMIN'], $post)) { ... }

Hiérarchie de rôles: utile, mais sans excès

La hiérarchie de rôles évite la duplication:

## config/packages/security.yaml
security:
  role_hierarchy:
    ROLE_EDITOR: ['ROLE_USER']
    ROLE_ADMIN: ['ROLE_EDITOR', 'ROLE_ALLOWED_TO_SWITCH']

Bonnes pratiques:

  • Limitez le nombre de rôles. Trop de rôles = explosion combinatoire.
  • Ne remplacez pas les permissions métier par des rôles. Continuez d’exprimer POST_EDIT, ORDER_REFUND, etc., dans des voters.
  • Utilisez ROLE_ALLOWED_TO_SWITCH uniquement pour l’impersonation (voir plus bas).

AccessDecisionManager: stratégies et impact

L’AccessDecisionManager agrège les votes. Trois stratégies:

  • Affirmative (défaut): un seul voter “grant” suffit.
  • Consensus: la majorité l’emporte.
  • Unanimous: tous les voters non-abstention doivent “grant”.

Configuration:

## config/packages/security.yaml
security:
  access_decision_manager:
    strategy: unanimous
    allow_if_all_abstain: false
    allow_if_equal_granted_denied: false

Recommandations:

  • Gardez “affirmative” dans la plupart des cas (rapide, prévisible).
  • Utilisez “unanimous” si vous avez des denials explicites de sécurité critique.
  • Laissez allow_if_all_abstain à false en production (deny by default).
  • Si vous multipliez les voters, surveillez la latence via du profiling.

Impersonation (switch user): puissante, mais auditée

L’impersonation facilite le support et le debug: un admin “devient” un utilisateur pour reproduire un problème.

Activation:

## config/packages/security.yaml
security:
  firewalls:
    main:
      # ...
      switch_user:
        role: ROLE_ALLOWED_TO_SWITCH
        parameter: _switch_user
  • Pour impersoner: appelez une URL avec ?_switch_user=jane.doe.
  • Pour quitter: ?_switch_user=_exit.

Bonnes pratiques:

  • Journalisez chaque prise de contrôle et sortie (identité de l’admin, cible, timestamp, IP).
  • Restreignez l’accès à ROLE_ALLOWED_TO_SWITCH à un cercle très réduit.
  • Affichez un bandeau visuel “Vous impersonnez X” pour éviter les erreurs.
  • Désactivez l’impersonation sur des environnements sensibles si inutile.

Expressions de sécurité et règles contextuelles

Au-delà des voters, les expressions permettent de composer des règles rapides:

  • Dans un attribut #[Security("...")]
  • Dans certains points de configuration (selon votre besoin)

Exemples utiles:

  • Fenêtre temporelle: #[Security("is_granted('ORDER_REFUND', order) and now() < order.refundableUntil")]
  • Filtrage par IP pour une route d’admin: #[Security("is_granted('ROLE_ADMIN') and request.clientIp starts with '10.'")]

Conseil: utilisez les expressions pour de la composition “glue”. Conservez la logique métier dans des voters/services pour la testabilité.

Tests, observabilité et pièges à éviter en production

Quelques erreurs fréquentes et comment les éviter:

  • Ne pas se reposer sur le front-end: validez toujours côté serveur via is_granted().
  • Décisions coûteuses: si votre voter déclenche des requêtes, revoyez votre design (préchargez les données, comparez des IDs, utilisez des DTO).
  • Mélange rôles/permissions: évitez des tests de rôles dans les templates pour du métier; préférez is_granted('PERMISSION', subject).
  • Boucles de dépendances: n’injectez pas des services lourds dans un voter (Repository avec lazy-loading OK; évitez des services qui déclenchent des événements).
  • Valeurs par défaut dangereuses: vérifiez allow_if_all_abstain = false.
  • Non-régression: écrivez des tests fonctionnels qui couvrent les cas GRANT/DENY.

Exemple de test fonctionnel minimal:

<?php
use App\Entity\Post;
use App\Entity\User;
use Symfony\Bundle\FrameworkBundle\Test\WebTestCase;

final class PostSecurityTest extends WebTestCase
{
    public function testAuthorCanEditOwnPost(): void
    {
        $client = static::createClient();
        $user = self::getContainer()->get('doctrine')->getRepository(User::class)->findOneByEmail('author@example.com');
        $post = self::getContainer()->get('doctrine')->getRepository(Post::class)->findOneBySlug('my-post');

        $client->loginUser($user);
        $client->request('GET', '/posts/'.$post->getId().'/edit');

        self::assertResponseIsSuccessful();
    }
}

Observabilité:

  • Ajoutez des logs ciblés dans vos voters pour les décisions sensibles (niveau debug en dev, info en prod pour les refus critiques).
  • Centralisez les événements d’impersonation (channel monolog dédié).
  • Mesurez le temps passé dans l’AccessDecisionManager lors de revues de perf.

Checklist de bonnes pratiques

  • Définissez des attributs métier explicites (ex: POST_EDIT, INVOICE_PAY).
  • Un voter par agrégat ou sous-domaine clé.
  • supports() ultra-léger, voteOnAttribute() sans I/O si possible.
  • Distinguez rôles (org) et permissions (métier).
  • Stratégie ADM: affirmative par défaut; deny si tous abstiennent.
  • Utilisez #[IsGranted]/#[Security] pour rendre les contrôleurs auto-documentés.
  • Impersonation: restreinte, loggée, visible et réversible.
  • Testez vos scénarios GRANT/DENY et surveillez en prod.

Aller plus loin

  • Modéliser des permissions multi-ressources (ex: TEAM_MANAGE sur une Team) avec des voters composables
  • Stratégies d’autorisation dans une architecture hexagonale
  • Intégrer vos règles métier côté API (API Platform) via metadata security

Conclusion

Les voters, attributs et l’AccessDecisionManager offrent un langage puissant pour exprimer vos règles d’accès sans diluer la logique métier. En séparant rôles et permissions, en testant systématiquement vos décisions et en surveillant les performances, vous obtenez une sécurité à la fois fine et maintenable.

Envie d’aller plus loin ? Abonnez-vous à notre newsletter et découvrez nos ateliers “Security Deep Dive” avec audits, patterns et exercices pratiques. Contactez-nous pour un accompagnement sur vos projets sensibles: nous écrire.

Partager cet article

Articles similaires

Logo Vulcain Développement - Développeur Symfony expert vulcain.agency

Développeur Full-Stack freelance expert
Créateur d'applications web sur mesure

📧 vulcain.developpement@gmail.com
📍 Saint-Lô, France
Malt

🏗️ Développement Symfony

🔗 API Platform

🏢 Solutions Métier

Liens Rapides