security.yml

Firewallはapp/config/security.ymlに次のようにして記述します。

security:
    providers:
        users:
            entity:
                class: CommmerceBundle:User

    firewalls:
        login:  
            pattern:  ^(/admin)?/login$
            security: false

        admin_area: 
            pattern: ^/admin
            form_login: 
                check_path: /admin/login_check
                login_path: /admin/login
            logout: 
                path: /admin/logout
                target: /admin/login

        customer_area:
            form_login: 
                check_path: /login_check
                login_path: /login
            logout: true
            anonymous: true

    access_control:
        - { path: ^(/admin)?/login$, roles: IS_AUTHENTICATED_ANONYMOUSLY, requires_channel: https }
        - { path: ^/mypage, roles: ROLE_CUSTOMER, requires_channel: https }
        - { path: ^/admin, roles: ROLE_ADMIN, requires_channel: https }

上記はE-Commerceサイトを想定したsecurity.ymlです。このうちfirewallとaccess_controlの2つがFirewallに該当する記述です。

セキュリティエリア

firewallsは主に認証の設定を行います。admin_areaやcustomer_areaはそれぞれセキュリティエリアの指定になります。認証はセキュリティエリア単位で行われ、正規表現を用いてURLのマッチングを行い、セキュリティエリアの特定を行います。上記の例では、/adminで始まるURLはadmin_area、それ以外はcustomer_areaとなります。ただし、/loginと/admin/loginは認証していなくてもアクセスしてよいので、別のエリアにしています。

form_login

form_loginを指定した場合ですが、自分ではフォーム画面を作成するだけで、認証部分のロジックを書く必要はありません。login_pathで指定したURLにログインフォーム画面のアクションを配置します。フォームのactionをcheck_pathで指定したパスにすると、後はうまいことやってくれます。

check_pathのものはルーティングを定義する必要こそありますが、コントローラーと対応させる必要はありません。routing.ymlに次の指定をするだけで構いません。これは、処理の順番としてルーティングが先に走りますが、コントローラーが呼び出される前にFirewallがinterceptするためです。これはlogoutの指定でも同様です。

_check_path:
    pattern: /login_check

認証されていない状態でどこかのセキュリティエリアにアクセスした場合、自動的にログイン画面に飛ばされますが、ログイン後は元々アクセスしようとしていた画面へ飛ぶようになっています。この挙動は設定で変更可能です。

anonymous

anonymousは匿名という意味ですが、Firewallを理解する上では非常に重要な設定となります。最初の例でECサイトを挙げましたが、ログインしなくても商品ページは閲覧できたりしますよね。セキュリティエリアを分けることで認証しないということも可能ですが、エリアを分けてしまうと認証状態も別になってしまい、ログインしていた場合でもユーザー情報を取得できなくなってしまいます。ログイン画面などで、ユーザー情報に一切アクセスしないとかであればよいのですが、ユーザー情報を取得したい場合の方が多いのではないかと思います。

そこで登場するのがanonymousです。anonymousをtrueにすると、ログインしていなくてもセキュリティエリア内へのアクセスが可能になります。anonymousをtrueにした場合は逆に、認証されていないと閲覧できない画面の制御を行う必要が出てきます。

access_control

access_controlは認可の設定です。権限(roles)を用いたアクセスの制御の指定を行います。ユーザーは最低限1つの権限を指定するようになっています。認証されている場合、恐らくROLE_USERのような権限を持つことになるでしょう(GitHub - FriendsOfSymfony/FOSUserBundle: Provides user management for your Symfony project. Compatible with Doctrine ORM & ODM, and custom storages.)。

認証している/いないという判定をするのではなく、なんの権限を持っているかという判定になります。変な言い方かも知れませんが、anonymousがtrueの場合は匿名ユーザーとして認証をパスすることができると考えてください。Firewallをくぐり抜けてきた段階で、認証のフェーズはパスしているのです。もっとも、内部的にはaccess_controlがFirewallの最期の壁なのでまだFirewallを抜けたわけではありませんが……。

権限を複数していすることももちろん可能なのですが、access_controlに権限を複数記述するのではなく、role_hierarchyという指定を行ってあげる必要があります。ここはsymfony 1のころのcredentialsとは少し違うので注意が必要です。

なお、匿名ユーザーでもよいという認可の指定にはIS_AUTHENTICATED_ANONYMOUSLYという権限を指定します。これは匿名ユーザー限定ではなく、匿名でもよいという指定なので注意してください。←この部分は間違っているかも。検証します・・・

Firewallの取り扱いは、anonymousとaccess_controlの使い方を把握しておく必要があります。それがわかってしまえば難しいことは（その部分の設定においては）ないです。

Securityコンポーネントは難しいですが、symfony 1のころの、security.ymlの状態に合わせてフィルターチェインの内容を動的に変化させて認証フローを挟むやり方も大概ですよね。

セキュリティの部分をデバッグするときは、Webプロファイラーで状態やイベントを確認したり、ログにデバッグ情報を細かく吐き出しているのでその当たりを参考にするとよいでしょう。ACL以外の構造はある程度把握できてきたので、質問があれば直接聞いていただいても結構ですよ。

KernelがDIコンテナオブジェクトを生成

Symfony\Component\HttpKernel\Kernelクラスが最初にリクエストを処理する際、Kernelクラスのboot()メソッドが読み込まれます。boot()メソッドはKernelに登録されたバンドルを一斉に読み込み、それらの中からエクステンションを抜き出して、DIコンテナを起動する処理を行います。バンドルの読み込みとDIコンテナの起動がboot()メソッドの役割です。

<?php

class Kernel
{
    public function boot()
    {
        // ...

        $this->bundles = $this->registerBundles();
        $this->bundleDirs = $this->registerBundleDirs();
        $this->container = $this->initializeContainer();

        // ...

        foreach ($this->bundles as $bundle) {
            $bundle->setContainer($this->container);
            $bundle->boot();
        }

        $this->booted = true;
    }
}

registerBundles()はバンドルオブジェクトの配列を返すメソッドで、Kernelクラスには抽象メソッドとして定義されています。実際のアプリケーションのKernelで必要なバンドルオブジェクトを返すように設定し、それが$this->bundlesプロパティにそのまま格納されます。registerBundleDirs()も大した処理はしてないのでいいでしょう。

そのすぐ後に呼び出されるのがinitializeContainer()です。initializeContainer()は見てわかる通りDIコンテナの初期化メソッドです。DIコンテナオブジェクトの起動が完了したら、起動後の状態と同じ状態のパラメーターやサービス情報が静的に定義されたクラスファイルをキャッシュとして生成します。initializeContainer()メソッドではそのキャッシュの制御を行い、キャッシュが存在しない場合など、バンドルからコンテナの情報を読み込む必要がある場合は buildContainer() メソッドを呼び出します。

<?php

class Kernel
{
    protected function buildContainer($class, $file)
    {
        $parameterBag = new ParameterBag($this->getKernelParameters());

        $container = new ContainerBuilder($parameterBag);
        foreach ($this->bundles as $bundle) {
            $bundle->registerExtensions($container);

            if ($this->debug) {
                $container->addObjectResource($bundle);
            }
        }

        if (null !== $cont = $this->registerContainerConfiguration($this->getContainerLoader($container))) {
            $container->merge($cont);
        }
        $container->freeze();

        // ...
    }
}

buildContainer()メソッドではContainerBuilderオブジェクトを新規に作成します。これは空っぽのDIコンテナオブジェクトです。ここにサービスなどを登録していきます。

すべてのバンドルからエクステンションを抜き出してDIコンテナに登録

上記のbuildContainer()メソッドを見ると、$this->bundlesをループして、すべてのバンドルのregisterExtensions()メソッドにコンテナオブジェクトを渡しています。このメソッドは、各バンドルディレクトリの中 DependencyInjection ディレクトリの中から Extension.php で終わるファイルを検索し、それらを読み込みます。ここで探して読み込むのがエクステンションです。

エクステンションは Symfony\Component\DependencyInjection\Extension\Extension クラスを継承したクラスです。作成する場合は前述の読み込み規則に従い、各バンドルのDependencyInjectionディレクトリ内にExtension.phpで終わるファイルを作成し、その中にクラスを定義します。

読み込む際には実際にエクステンションのインスタンスを作成します。それらのインスタンス1つ1つをコンテナオブジェクトに登録します。コンテナへの登録は、ContainerBuilder::registerExtension()メソッドを通じて行います。これはBundle::registerExtensions()メソッドの内部で呼び出されます。

コンテナに登録した段階では、パラメーターやサービスの定義はコンテナーには追加されません。この段階では単にコンテナーオブジェクトの内部にエクステンションオブジェクトが保持されるだけです。

<?php

class ContainerBuilder
{
    static public function registerExtension(ExtensionInterface $extension)
    {
        static::$extensions[$extension->getAlias()] = static::$extensions[$extension->getNamespace()] = $extension;
    }
}

このとき覚えておいて欲しいのが、$extensionsプロパティに格納される際に、Extension::getAlias()メソッドの戻り値をキーとして使用しています。これは後ほど非常に重要な役割を持ちます。FrameworkBundleのFrameworkExtensionでは 'app' という文字列をエイリアスとして返すようになっています。

app/config/config.ymlを読み込み、内容に応じてエクステンションをロード

すべてのエクステンションがContainerに登録されたら、次は各エクステンションをロードする処理です。各エクステンションにはそれぞれ独自にDIコンテナを拡張するためのメソッドを持っています。たとえばFrameworkBundleのFrameworkExtensionではconfigLoad()メソッドがそれです。

実際にロードを行う処理は、config.ymlが密接に関係しています。たとえばconfig.ymlには次のような記述があります。

app.config:
    charset:       UTF-8
    error_handler: null
    csrf_secret:   xxxxxxxxxx
    router:        { resource: "%kernel.root_dir%/config/routing.yml" }
    validation:    { enabled: true, annotations: true }
    templating:
        escaping:       htmlspecialchars

ここには「app.config」という名前でさまざまな設定が定義されています。実は、この「app.config」という一文によってエクステンションがロードされます。

エクステンションの登録が完了された後、このconfig.ymlが読み込まれます。読み込みはKernel:: registerContainerConfiguration()メソッドで行われます。その際、(app.configなどの)トップレベルの項目が、それぞれエクステンションをロードするためのキーになります。

たとえばapp.configの場合、エクステンションの中から app という名前で登録されているものを探し、そのエクステンションの configLoad() メソッドを呼び出します。トップレベルの項目すべてにそれを行います。

エクステンションの名前は、各エクステンションクラスのgetAlias()メソッドの戻り値です。呼び出されるメソッドは、ドットの後に指定した文字列にLoadをつけたメソッドです。いくつかの例を記述します。

• foo.bar: fooエクステンションの barLoad()
• app.test: appエクステンションの testLoad()

あとはそれぞれのエクステンションのメソッドに、コンテナオブジェクトと、config.yml側に記述してある設定項目の連想配列が渡されます。

バンドルではResources/configディレクトリにDIコンテナを拡張するための定義ファイルを配置する習慣があります。それは読み込むだけでDIコンテナのサービスやパラメータ定義を拡張します。

config.ymlに記述してある内容はそれとは違います。config.ymlはユーザーが必要な分だけDIコンテナへの拡張を設定するためのファイルです。ここに記述した設定を受け取り、エクステンションが内部でうまいことコンテナオブジェクトを修正してくれます。

単にエクステンションを読み込みたいだけなら、次のようにチルダーを指定します。

markdown.parser: ~

チルダーはnullと同じです。これでも問題なく動作します。これがないと、上記の場合はmarkdownエクステンションがそもそも読み込まれません。エクステンションをとりあえず有効にするためにはこういった記述が必要になります。

さて、ここまでが起動の流れになります。自前でバンドルを作った際にエクステンションも同時に作る場合、必ずconfig.yml側で読み込んであげる必要があります。

とりあえず習慣的には、 'ユニークなエイリアス.config' というのが基本のようです。とりあえずここまでの流れが追えるとだいぶSymfony2がわかった気になりますよ！

次はid:uechocoさん、よろしくお願いします！

Symfony Advent 2010であなたの記事を公開してみませんか？

Symfony Advent 2010では12月1日から12月24日までを使って日替わりでsymfonyでイイなと思った小さなtipsから内部構造まで迫った解説などをブログ記事にして公開していくイベントです。

参加についてはATNDで参加表明の上、Google GroupのSymfony Advent 2010に追加リクエストを送信ください。

Symfony Advent 2010チーム一同、あなたの参加をお待ちしております。

• 日本Symfonyユーザー会
• Symfony アドベントカレンダー2010

名前空間とクラス名

Doctrine 1では、次のようなクラスが定義されています。

• Doctrine_Expression_Mysql
• Doctrine_DataDict_Mysql
• Doctrine_Connection_Mysql

これらを単純に名前空間を使った形式に置き換えてみます。

• Doctrine\Expression\Mysql
• Doctrine\DataDict\Mysql
• Doctrine\Connection\Mysql

ここで問題となるのが、これらをインポートした時です。

<?php
use Doctrine\Expression\Mysql;
use Doctrine\DataDict\Mysql;
use Doctrine\Connection\Mysql;

みての通り、クラス名が被ってしまいます。これでは本末転倒です。

名前空間を用いた場合、それぞれ3つのクラスはあくまでも「Mysql」というクラス名になります。これはそもそもクラス名として不適切ではないでしょうか。それぞれが「MysqLExpression」「MysqlDataDict」「MysqlConnection」というクラス名であれば、同時にインポートしても何ら問題はありませんし、クラス名としても妥当です。

これまでは名前空間に該当する部分も含めてクラス名としていましたが、名前空間が実装されたことによって、名前空間としての意味しか持たなくなりました。名前空間を取り除いたとしても、クラス名からクラスの役割がわかるように名前をつける必要があります。

ここについては、これまでの感覚だと「ExpressionMysql」や「ExpressionPgsql」のように共通語句をプレフィックスをつけがちかもしれませんが、「MysqlExpression」「PgsqlExpression」のようにサフィックスにした方が英語的にしっくりくると思います。

抽象クラスのポジション

Doctrine_Expression_MysqlクラスはDoctrine_Expressionクラスを継承しています。Doctrine_Expressionをそのまま名前空間を使った形式に置き換えると、Doctrine\Expressionとなります。そうなった場合、ExpressionはあくまでDoctrine名前空間の定義された状態です。これは感覚的な問題かもしれませんが、僕はこれには違和感があります。

ディレクトリ的には次のようになります。

Doctrine/
  - Expression.php
  - Expression/
    - MysqlExpression.php

これについて、あくまでDoctrine\Expressionという名前空間の中で完結しておくべきだと考えます。

Doctrine/
  - Expression/
    - Expression.php
    - MysqlExpression.php

そうなると修飾クラス名は「Doctrine\Expression\Expression」となります。

同一の名前空間にいれば、クラス定義の際も親クラスをインポートする必要がないので楽ですし、自然に思います。

同一名前空間にいる場合:

<?php

namespace Doctrine\Expression;

class MysqlExpression extends Expression {}

同一名前空間にいない場合:

<?php

namespace Doctrine\Expression;

use Doctrine\Expression;

class MysqlExpression extends Expression {}

同一名前空間でない場合は、そもそもクラス名と名前空間が被ってしまいますよね。動作はしますけども。

まとめ

• 名前空間を修飾していないクラス名だけを見ても、クラスの役割がわかるような名前をつける
• 抽象クラスと具象クラスは同じ名前空間に配置する

気をつけている些細なこと

<?php
$request = new \Symfony\HttpFoundation\Request();

<?php
use Symfony\HttpFoundation\Request;

$request = new Request();

<?php

use Symfony\Component\HttpKernel\Bundle\Bundle,
    Symfony\Component\DependencyInjection\ContainerInterface;

<?php

use Symfony\Component\HttpKernel\Bundle\Bundle;
use Symfony\Component\DependencyInjection\ContainerInterface;

その他テクニック的な

useが面倒くさいという点に関して言うと、例えばSymfony2でアプリケーションを作る場合、各コントローラーはSymfony\FrameworkBundle\Controller\Controllerクラスを継承して作るのが基本です。ただ毎回useするのは面倒なので、各BundleのController名前空間に空のControllerクラスを作るようにしています。

<?php

namespace Application\AppBundle\Controller;

use Symfony\FrameworkBundle\Controller\Controller as BaseController;

abstract class Controller extends BaseController
{
}

<?php

namespace Application\AppBundle\Controller;

// 名前解決のルールにのっとりApplication\AppBundle\Controller\Controllerを継承
class AccountController extends Controller
{
}

こうするとコントローラを作るたびにuseする必要はないですし、共通処理の追加も当然楽になりますよね。問題なければフレームワークとの間に1枚挟んでおくと何かと楽です。

終わりに

これまでは名前空間部分もすべて含めてクラス名として扱っていたので、トップダウン的にクラス名をつけていけばいずれあるべきクラス名になっていました。しかし、名前空間の採用により、そのままのつけ方では、クラス名が短くなりすぎて本来持っている意味をあらわせなくなる可能性もあります。

僕がコードを書くとき、とりあえず名前空間は気にせず、1つのファイルにガーっとクラスを定義していき、ある程度まとまったところで個別にクラスファイルを配置する、といったやり方をとることが多いです。やり方は人それぞれですが、まずはクラス名を意識して、あとから適切な名前空間を設けるように考えていくとよいと思います。