Symfony 2靜態資產授權（防火牆後面的.js）

Question

在防火牆後面保護靜態資產（javascript和css）的過程是什麼？ 我有一個管理部分大量使用javascript。我真的不想向公衆公開這些代碼。

我目前/web/admin/js/xyz.js

使用assetic到文件編譯我所有的JavaScript是有一個簡單的方法來做到這一點，我俯瞰？

Answer 1

您可以使用控制器來提供靜態文件並保護該控制器。例如：

/** 
* Serves static javascript file. 
* We have configured /secure to be secured by some firewall 
* 
* @Route("/secure/xyz.js", name="static_xyz") 
*/ 
public function staticXyzAction() 
{ 

    $headers = array(
     'Content-Type' => 'text/javascript', 
    ); 

    return new Response(file_get_contents($this->get('kernel') 
     ->getRootDir().'../web/admin/js/xyz.js'), 200, $headers); 
} 

這只是您提供的數據的一個示例。顯然，在你的最終代碼中，被服務的文件應該位於某個不能被Web服務器直接訪問的目錄中。

這種方法明顯的缺點是性能。 PHP服務靜態文件要比Web服務器慢得多，但取決於您的負載，這可能不是問題。

Answer 2

你爲什麼要「隱藏」這些admin js文件？ js不應該執行嚴格的授權或檢查權限，而只是與您的Sf2 Apis/Controllers進行交流，並且如果閱讀則不應該是關鍵的。這是一個概念問題。

如果您害怕lambda用戶/黑客看到這些js文件，您可以在Assetic中設置一個非常複雜的隨機js輸出。 Symfony .htaccess僅允許用戶訪問靜態文件，只要他們知道確切的URL，他們不能列出存儲建立資產的存儲庫，防火牆可以捕獲這些文件。

最後的安全性測試，使用yui-minifier和Assetic來縮小和阻塞你建立的js文件。