Protege tu API de Symfony con control de acceso basado en roles (RBAC) y validación de JWT
Esta guía te ayudará a implementar autorización para asegurar tus APIs de Symfony utilizando el control de acceso basado en roles (RBAC) y JSON Web Tokens (JWTs) emitidos por Logto.
Antes de comenzar
Tus aplicaciones cliente necesitan obtener tokens de acceso (Access tokens) de Logto. Si aún no has configurado la integración del cliente, consulta nuestras Guías rápidas para React, Vue, Angular u otros frameworks de cliente, o revisa nuestra Guía de máquina a máquina para el acceso de servidor a servidor.
Esta guía se centra en la validación del lado del servidor de esos tokens en tu aplicación Symfony.
Lo que aprenderás
- Validación de JWT: Aprende a validar tokens de acceso (Access tokens) y extraer información de autenticación (Authentication)
- Implementación de middleware: Crea middleware reutilizable para la protección de API
- Modelos de permisos: Comprende e implementa diferentes patrones de autorización (Authorization):
- Recursos de API globales para endpoints a nivel de aplicación
- Permisos de organización para el control de funciones específicas de inquilinos
- Recursos de API a nivel de organización para el acceso a datos multi-inquilino
- Integración de RBAC: Aplica permisos y alcances (Scopes) basados en roles (Roles) en tus endpoints de API
Requisitos previos
- Última versión estable de PHP instalada
- Conocimientos básicos de Symfony y desarrollo de API web
- Una aplicación Logto configurada (consulta las Guías rápidas si es necesario)
Resumen de modelos de permisos
Antes de implementar la protección, elige el modelo de permisos que se adapte a la arquitectura de tu aplicación. Esto se alinea con los tres principales escenarios de autorización de Logto:
- Recursos de API globales
- Permisos de organización (no API)
- Recursos de API a nivel de organización
- Caso de uso: Proteger recursos de API compartidos en toda tu aplicación (no específicos de una organización)
- Tipo de token: Token de acceso (Access token) con audiencia global
- Ejemplos: APIs públicas, servicios principales del producto, endpoints de administración
- Ideal para: Productos SaaS con APIs utilizadas por todos los clientes, microservicios sin aislamiento de inquilinos
- Más información: Proteger recursos de API globales
- Caso de uso: Controlar acciones específicas de la organización, características de la interfaz de usuario o lógica de negocio (no APIs)
- Tipo de token: Token de organización (Organization token) con audiencia específica de la organización
- Ejemplos: Control de características, permisos de panel de control, controles de invitación de miembros
- Ideal para: SaaS multi-inquilino con características y flujos de trabajo específicos de la organización
- Más información: Proteger permisos de organización (no API)
- Caso de uso: Proteger recursos de API accesibles dentro de un contexto de organización específico
- Tipo de token: Token de organización (Organization token) con audiencia de recurso de API + contexto de organización
- Ejemplos: APIs multi-inquilino, endpoints de datos con alcance organizacional, microservicios específicos de inquilino
- Ideal para: SaaS multi-inquilino donde los datos de la API tienen alcance organizacional
- Más información: Proteger recursos de API a nivel de organización
💡 Elige tu modelo antes de continuar: la implementación hará referencia a tu enfoque elegido a lo largo de esta guía.
Pasos rápidos de preparación
Configura recursos y permisos de Logto
- Recursos de API globales
- Permisos de organización (no API)
- Recursos de API a nivel de organización
- Crea un recurso de API: Ve a Consola → Recursos de API y registra tu API (por ejemplo,
https://api.yourapp.com) - Define permisos: Añade alcances como
read:products,write:orders– consulta Definir recursos de API con permisos - Crea roles globales: Ve a Consola → Roles y crea roles que incluyan los permisos de tu API – consulta Configurar roles globales
- Asigna roles: Asigna roles a usuarios o aplicaciones M2M que necesiten acceso a la API
- Define permisos de organización: Crea permisos de organización que no sean de API como
invite:member,manage:billingen la plantilla de organización - Configura roles de organización: Configura la plantilla de organización con roles específicos de la organización y asígnales permisos
- Asigna roles de organización: Asigna usuarios a roles de organización dentro de cada contexto de organización
- Crea un recurso de API: Registra tu recurso de API como antes, pero se usará en el contexto de organización
- Define permisos: Añade alcances como
read:data,write:settingsque estén limitados al contexto de organización - Configura la plantilla de organización: Configura roles de organización que incluyan los permisos de tu recurso de API
- Asigna roles de organización: Asigna usuarios o aplicaciones M2M a roles de organización que incluyan permisos de API
- Configuración multi-tenant: Asegúrate de que tu API pueda manejar datos y validaciones con alcance de organización
Comienza con nuestra Guía de control de acceso basado en roles (RBAC) para instrucciones paso a paso.
Actualiza tu aplicación cliente
Solicita los alcances apropiados en tu cliente:
- Autenticación de usuario: Actualiza tu app → para solicitar los alcances de tu API y/o el contexto de organización
- Máquina a máquina: Configura alcances M2M → para acceso de servidor a servidor
El proceso normalmente implica actualizar la configuración de tu cliente para incluir uno o más de los siguientes:
- Parámetro
scopeen los flujos OAuth - Parámetro
resourcepara acceso a recursos de API organization_idpara el contexto de organización
Asegúrate de que el usuario o la aplicación M2M que estás probando tenga asignados los roles o roles de organización adecuados que incluyan los permisos necesarios para tu API.
Inicializa tu proyecto de API
Para inicializar un nuevo proyecto Symfony para el desarrollo de API, utiliza la CLI de Symfony o Composer:
Usando la CLI de Symfony (recomendado):
symfony new your-api-name --webapp
cd your-api-name
O usando Composer:
composer create-project symfony/skeleton your-api-name
cd your-api-name
composer require webapp
Instala paquetes adicionales para el desarrollo de API:
composer require symfony/security-bundle
composer require symfony/serializer
composer require doctrine/annotations
Inicia el servidor de desarrollo:
symfony serve
O usando el servidor integrado de PHP:
php -S localhost:8000 -t public/
Esto crea un proyecto Symfony básico. Configura el framework para el desarrollo de API:
framework:
secret: '%env(APP_SECRET)%'
serializer:
enabled: true
property_access:
enabled: true
Consulta la documentación de Symfony para más detalles sobre cómo configurar controladores, servicios y otras características.
Inicializa constantes y utilidades
Define las constantes y utilidades necesarias en tu código para manejar la extracción y validación de tokens. Una solicitud válida debe incluir un encabezado Authorization en la forma Bearer <token de acceso (access token)>.
<?php
class AuthConstants
{
public const JWKS_URI = 'https://your-tenant.logto.app/oidc/jwks';
public const ISSUER = 'https://your-tenant.logto.app/oidc';
}
<?php
class AuthInfo
{
public function __construct(
public readonly string $sub,
public readonly ?string $clientId = null,
public readonly ?string $organizationId = null,
public readonly array $scopes = [],
public readonly array $audience = []
) {}
public function toArray(): array
{
return [
'sub' => $this->sub,
'client_id' => $this->clientId,
'organization_id' => $this->organizationId,
'scopes' => $this->scopes,
'audience' => $this->audience,
];
}
}
<?php
class AuthorizationException extends Exception
{
public function __construct(
string $message,
public readonly int $statusCode = 403
) {
parent::__construct($message);
}
}
<?php
trait AuthHelpers
{
protected function extractBearerToken(array $headers): string
{
$authorization = $headers['authorization'][0] ?? $headers['Authorization'][0] ?? null;
if (!$authorization) {
throw new AuthorizationException('El encabezado de autorización (Authorization header) falta', 401);
}
if (!str_starts_with($authorization, 'Bearer ')) {
throw new AuthorizationException('El encabezado de autorización (Authorization header) debe comenzar con "Bearer "', 401);
}
return substr($authorization, 7); // Elimina el prefijo 'Bearer '
}
}
Recupera información sobre tu tenant de Logto
Necesitarás los siguientes valores para validar los tokens emitidos por Logto:
- URI de JSON Web Key Set (JWKS): La URL a las claves públicas de Logto, utilizada para verificar las firmas de JWT.
- Emisor (Issuer): El valor esperado del emisor (la URL OIDC de Logto).
Primero, encuentra el endpoint de tu tenant de Logto. Puedes encontrarlo en varios lugares:
- En la Consola de Logto, en Configuración → Dominios.
- En cualquier configuración de aplicación que hayas configurado en Logto, Configuración → Endpoints y Credenciales.
Obtener desde el endpoint de descubrimiento de OpenID Connect
Estos valores pueden obtenerse desde el endpoint de descubrimiento de OpenID Connect de Logto:
https://<your-logto-endpoint>/oidc/.well-known/openid-configuration
Aquí tienes un ejemplo de respuesta (otros campos omitidos por brevedad):
{
"jwks_uri": "https://your-tenant.logto.app/oidc/jwks",
"issuer": "https://your-tenant.logto.app/oidc"
}
Codificar directamente en tu código (no recomendado)
Dado que Logto no permite personalizar la URI de JWKS ni el emisor, puedes codificar estos valores directamente en tu código. Sin embargo, esto no se recomienda para aplicaciones en producción, ya que puede aumentar la carga de mantenimiento si alguna configuración cambia en el futuro.
- URI de JWKS:
https://<your-logto-endpoint>/oidc/jwks - Emisor:
https://<your-logto-endpoint>/oidc
Valida el token y los permisos
Después de extraer el token y obtener la configuración OIDC, valida lo siguiente:
- Firma: El JWT debe ser válido y estar firmado por Logto (a través de JWKS).
- Emisor (Issuer): Debe coincidir con el emisor de tu tenant de Logto.
- Audiencia (Audience): Debe coincidir con el indicador de recurso de la API registrado en Logto, o el contexto de la organización si corresponde.
- Expiración: El token no debe estar expirado.
- Permisos (Alcances / scopes): El token debe incluir los alcances requeridos para tu API / acción. Los alcances son cadenas separadas por espacios en el reclamo
scope. - Contexto de organización: Si proteges recursos de API a nivel de organización, valida el reclamo
organization_id.
Consulta JSON Web Token para aprender más sobre la estructura y los reclamos de JWT.
Qué verificar para cada modelo de permisos
- Recursos de API globales
- Permisos de organización (no API)
- Recursos de API a nivel de organización
- Reclamo de audiencia (
aud): Indicador de recurso de API - Reclamo de organización (
organization_id): No presente - Alcances (permisos) a verificar (
scope): Permisos de recurso de API
- Reclamo de audiencia (
aud):urn:logto:organization:<id>(el contexto de organización está en el reclamoaud) - Reclamo de organización (
organization_id): No presente - Alcances (permisos) a verificar (
scope): Permisos de organización
- Reclamo de audiencia (
aud): Indicador de recurso de API - Reclamo de organización (
organization_id): ID de la organización (debe coincidir con la solicitud) - Alcances (permisos) a verificar (
scope): Permisos de recurso de API
Para los permisos de organización que no son de API, el contexto de la organización está
representado por el reclamo aud (por ejemplo, urn:logto:organization:abc123). El reclamo
organization_id solo está presente para tokens de recursos de API a nivel de organización.
Valida siempre tanto los permisos (alcances) como el contexto (audiencia, organización) para APIs multi-tenant seguras.
Añade la lógica de validación
Usamos firebase/php-jwt para validar JWTs. Instálalo usando Composer:
composer require firebase/php-jwt
Primero, añade estas utilidades compartidas para manejar la validación de JWT:
<?php
use Firebase\JWT\JWT;
use Firebase\JWT\JWK;
use Firebase\JWT\Key;
class JwtValidator
{
use AuthHelpers;
private static ?array $jwks = null;
public static function fetchJwks(): array
{
if (self::$jwks === null) {
$jwksData = file_get_contents(AuthConstants::JWKS_URI);
if ($jwksData === false) {
throw new AuthorizationException('Failed to fetch JWKS', 401);
}
self::$jwks = json_decode($jwksData, true);
}
return self::$jwks;
}
public static function validateJwt(string $token): array
{
try {
$jwks = self::fetchJwks();
$keys = JWK::parseKeySet($jwks);
$decoded = JWT::decode($token, $keys);
$payload = (array) $decoded;
// Verificar emisor
if (($payload['iss'] ?? '') !== AuthConstants::ISSUER) {
throw new AuthorizationException('Invalid issuer', 401);
}
self::verifyPayload($payload);
return $payload;
} catch (AuthorizationException $e) {
throw $e;
} catch (Exception $e) {
throw new AuthorizationException('Invalid token: ' . $e->getMessage(), 401);
}
}
public static function createAuthInfo(array $payload): AuthInfo
{
$scopes = !empty($payload['scope']) ? explode(' ', $payload['scope']) : [];
$audience = $payload['aud'] ?? [];
if (is_string($audience)) {
$audience = [$audience];
}
return new AuthInfo(
sub: $payload['sub'],
clientId: $payload['client_id'] ?? null,
organizationId: $payload['organization_id'] ?? null,
scopes: $scopes,
audience: $audience
);
}
private static function verifyPayload(array $payload): void
{
// Implementa aquí tu lógica de verificación basada en el modelo de permisos
// Esto se mostrará en la sección de modelos de permisos a continuación
}
}
Luego, implementa el middleware para verificar el token de acceso:
<?php
namespace App\Security;
use Symfony\Component\HttpFoundation\JsonResponse;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\Response;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Exception\AuthenticationException;
use Symfony\Component\Security\Http\Authenticator\AbstractAuthenticator;
use Symfony\Component\Security\Http\Authenticator\Passport\Badge\UserBadge;
use Symfony\Component\Security\Http\Authenticator\Passport\Passport;
use Symfony\Component\Security\Http\Authenticator\Passport\SelfValidatingPassport;
class JwtAuthenticator extends AbstractAuthenticator
{
use AuthHelpers;
public function supports(Request $request): ?bool
{
return $request->headers->has('authorization');
}
public function authenticate(Request $request): Passport
{
try {
$token = $this->extractBearerToken($request->headers->all());
$payload = JwtValidator::validateJwt($token);
$authInfo = JwtValidator::createAuthInfo($payload);
// Almacenar la información de autenticación en los atributos de la solicitud para uso genérico
$request->attributes->set('auth', $authInfo);
return new SelfValidatingPassport(new UserBadge($payload['sub']));
} catch (AuthorizationException $e) {
throw new AuthenticationException($e->getMessage());
}
}
public function onAuthenticationSuccess(Request $request, TokenInterface $token, string $firewallName): ?Response
{
return null; // Continuar al controlador
}
public function onAuthenticationFailure(Request $request, AuthenticationException $exception): ?Response
{
return new JsonResponse(['error' => $exception->getMessage()], Response::HTTP_UNAUTHORIZED);
}
}
Configura la seguridad en config/packages/security.yaml:
security:
firewalls:
api:
pattern: ^/api/protected
stateless: true
custom_authenticators:
- App\Security\JwtAuthenticator
De acuerdo con tu modelo de permisos, implementa la lógica de verificación apropiada en JwtValidator:
- Recursos de API globales
- Permisos de organización (no API)
- Recursos de API a nivel de organización
private static function verifyPayload(array $payload): void
{
// Verifica que el reclamo de audiencia coincida con tu indicador de recurso de API
$audiences = $payload['aud'] ?? [];
if (is_string($audiences)) {
$audiences = [$audiences];
}
if (!in_array('https://your-api-resource-indicator', $audiences)) {
throw new AuthorizationException('Invalid audience');
}
// Verifica los alcances requeridos para recursos de API globales
$requiredScopes = ['api:read', 'api:write']; // Reemplaza con tus alcances requeridos
$scopes = !empty($payload['scope']) ? explode(' ', $payload['scope']) : [];
foreach ($requiredScopes as $scope) {
if (!in_array($scope, $scopes)) {
throw new AuthorizationException('Insufficient scope');
}
}
}
private static function verifyPayload(array $payload): void
{
// Verifica que el reclamo de audiencia coincida con el formato de organización
$audiences = $payload['aud'] ?? [];
if (is_string($audiences)) {
$audiences = [$audiences];
}
$hasOrgAudience = false;
foreach ($audiences as $aud) {
if (str_starts_with($aud, 'urn:logto:organization:')) {
$hasOrgAudience = true;
break;
}
}
if (!$hasOrgAudience) {
throw new AuthorizationException('Invalid audience for organization permissions');
}
// Verifica que el ID de la organización coincida con el contexto (puede que necesites extraerlo del contexto de la solicitud)
$expectedOrgId = 'your-organization-id'; // Extrae del contexto de la solicitud
$expectedAud = "urn:logto:organization:{$expectedOrgId}";
if (!in_array($expectedAud, $audiences)) {
throw new AuthorizationException('Organization ID mismatch');
}
// Verifica los alcances requeridos de la organización
$requiredScopes = ['invite:users', 'manage:settings']; // Reemplaza con tus alcances requeridos
$scopes = !empty($payload['scope']) ? explode(' ', $payload['scope']) : [];
foreach ($requiredScopes as $scope) {
if (!in_array($scope, $scopes)) {
throw new AuthorizationException('Insufficient organization scope');
}
}
}
private static function verifyPayload(array $payload): void
{
// Verifica que el reclamo de audiencia coincida con tu indicador de recurso de API
$audiences = $payload['aud'] ?? [];
if (is_string($audiences)) {
$audiences = [$audiences];
}
if (!in_array('https://your-api-resource-indicator', $audiences)) {
throw new AuthorizationException('Invalid audience for organization-level API resources');
}
// Verifica que el ID de la organización coincida con el contexto (puede que necesites extraerlo del contexto de la solicitud)
$expectedOrgId = 'your-organization-id'; // Extrae del contexto de la solicitud
$orgId = $payload['organization_id'] ?? null;
if ($expectedOrgId !== $orgId) {
throw new AuthorizationException('Organization ID mismatch');
}
// Verifica los alcances requeridos para recursos de API a nivel de organización
$requiredScopes = ['api:read', 'api:write']; // Reemplaza con tus alcances requeridos
$scopes = !empty($payload['scope']) ? explode(' ', $payload['scope']) : [];
foreach ($requiredScopes as $scope) {
if (!in_array($scope, $scopes)) {
throw new AuthorizationException('Insufficient organization-level API scopes');
}
}
}
Aplica el middleware a tu API
Ahora, aplica el middleware a tus rutas de API protegidas.
<?php
namespace App\Controller\Api;
use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
use Symfony\Component\HttpFoundation\JsonResponse;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\Routing\Annotation\Route;
use Symfony\Component\Security\Http\Attribute\IsGranted;
#[Route('/api/protected')]
#[IsGranted('IS_AUTHENTICATED_FULLY')]
class ProtectedController extends AbstractController
{
#[Route('', methods: ['GET'])]
public function index(Request $request): JsonResponse
{
// Accede a la información de autenticación desde los atributos de la solicitud
$auth = $request->attributes->get('auth');
return $this->json(['auth' => $auth->toArray()]);
}
}
Prueba tu API protegida
Obtener tokens de acceso (Access tokens)
Desde tu aplicación cliente: Si has configurado una integración de cliente, tu aplicación puede obtener tokens automáticamente. Extrae el token de acceso y úsalo en las solicitudes a la API.
Para pruebas con curl / Postman:
-
Tokens de usuario: Usa las herramientas de desarrollador de tu aplicación cliente para copiar el token de acceso desde localStorage o la pestaña de red.
-
Tokens máquina a máquina: Utiliza el flujo de credenciales de cliente. Aquí tienes un ejemplo no normativo usando curl:
curl -X POST https://your-tenant.logto.app/oidc/token \
-H "Content-Type: application/x-www-form-urlencoded" \
-d "grant_type=client_credentials" \
-d "client_id=your-m2m-client-id" \
-d "client_secret=your-m2m-client-secret" \
-d "resource=https://your-api-resource-indicator" \
-d "scope=api:read api:write"Puede que necesites ajustar los parámetros
resourceyscopesegún tu recurso de API y permisos; también puede ser necesario un parámetroorganization_idsi tu API está asociada a una organización.
¿Necesitas inspeccionar el contenido del token? Usa nuestro decodificador de JWT para decodificar y verificar tus JWTs.
Probar endpoints protegidos
Solicitud con token válido
curl -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9..." \
http://localhost:3000/api/protected
Respuesta esperada:
{
"auth": {
"sub": "user123",
"clientId": "app456",
"organizationId": "org789",
"scopes": ["api:read", "api:write"],
"audience": ["https://your-api-resource-indicator"]
}
}
Token ausente
curl http://localhost:3000/api/protected
Respuesta esperada (401):
{
"error": "Authorization header is missing"
}
Token inválido
curl -H "Authorization: Bearer invalid-token" \
http://localhost:3000/api/protected
Respuesta esperada (401):
{
"error": "Invalid token"
}
Pruebas específicas del modelo de permisos
- Recursos de API globales
- Permisos de organización (no API)
- Recursos de API a nivel de organización
Escenarios de prueba para APIs protegidas con alcances globales:
- Alcances válidos: Prueba con tokens que incluyan los alcances de API requeridos (por ejemplo,
api:read,api:write) - Alcances ausentes: Espera 403 Prohibido cuando el token no tenga los alcances requeridos
- Audiencia incorrecta: Espera 403 Prohibido cuando la audiencia no coincida con el recurso de API
# Token sin los alcances requeridos - espera 403
curl -H "Authorization: Bearer token-without-required-scopes" \
http://localhost:3000/api/protected
Escenarios de prueba para control de acceso específico de organización:
- Token de organización válido: Prueba con tokens que incluyan el contexto correcto de organización (ID de organización y alcances)
- Alcances ausentes: Espera 403 Prohibido cuando el usuario no tenga permisos para la acción solicitada
- Organización incorrecta: Espera 403 Prohibido cuando la audiencia no coincida con el contexto de la organización (
urn:logto:organization:<organization_id>)
# Token para organización incorrecta - espera 403
curl -H "Authorization: Bearer token-for-different-organization" \
http://localhost:3000/api/protected
Escenarios de prueba combinando validación de recursos de API con contexto de organización:
- Organización válida + alcances de API: Prueba con tokens que tengan tanto el contexto de organización como los alcances de API requeridos
- Alcances de API ausentes: Espera 403 Prohibido cuando el token de organización no tenga los permisos de API requeridos
- Organización incorrecta: Espera 403 Prohibido al acceder a la API con un token de otra organización
- Audiencia incorrecta: Espera 403 Prohibido cuando la audiencia no coincida con el recurso de API a nivel de organización
# Token de organización sin alcances de API - espera 403
curl -H "Authorization: Bearer organization-token-without-api-scopes" \
http://localhost:3000/api/protected
Lecturas adicionales
RBAC en la práctica: Implementando autorización segura para tu aplicación
Crea una aplicación SaaS multi-inquilino: Una guía completa desde el diseño hasta la implementación