Mam taki problem:

Posiadam dwa bundle (jedna aplikacja) na różnych domenach:
Backend: cms.app.com
Frontend: app.com

Konfigurację ogólną dla całości (config.yml) mam taką:

[XML] pobierz, plaintext 
imports:
    - { resource: parameters.yml }
    - { resource: security.yml }
    - { resource: services.yml }
    - { resource: "@ProjectBackendBundle/Resources/config/config.yml" }
    - { resource: "@ProjectFrontendBundle/Resources/config/config.yml" }
 
.
.
.
####### standardowe rzeczy configuracji frameworka
.
.
.
 
 
jms_i18n_routing:
    default_locale: "%locale%"
    locales: ["%locale%", en]
    strategy: prefix_except_default
 
fos_user:
    db_driver: orm # other valid values are 'mongodb', 'couchdb'
    user_class: Project\BackendBundle\Entity\User
[XML] pobierz, plaintext 

app/config/security.yml (ogólny):

[XML] pobierz, plaintext 
security:
    encoders:
        FOS\UserBundle\Model\UserInterface: sha512
 
    role_hierarchy:
        ROLE_ADMIN:       ROLE_USER
        ROLE_SUPER_ADMIN: ROLE_ADMIN
 
    providers:
        fos_userbundle:
            id: fos_user.user_provider.username
 
    firewalls:
        dev:
            pattern:  ^/(_(profiler|wdt)|css|images|js)/
            security: false
 
        login:
            pattern: ^/login
            anonymous: true
 
        frontend:
            pattern: ^/
            form_login:
                provider: fos_userbundle
                csrf_provider: form.csrf_provider
            logout:       true
            anonymous:    true
 
        backend:
            pattern: ^/
            form_login:
                provider: fos_userbundle
                csrf_provider: form.csrf_provider
            logout:       true
            anonymous:    false
 
    access_control:
        - { path: ^/login$, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/register, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/resetting, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/admin/, role: ROLE_ADMIN }
[XML] pobierz, plaintext 

Powyżej zdefiniowałem dwa firewalle dla każdego bundla osobny, tak żeby można było na frontend wchodzić jako anonymous, natomiast ma backend tylko po zalogowaniu.


Dla backendu BackendBundle/Resources/config/config.yml:

[XML] pobierz, plaintext 
imports:
    - { resource: services.yml }
 
 
fos_user:
    firewall_name: backend
[XML] pobierz, plaintext 

Dla frontendu FrontendBundle/Resources/config/config.yml:

[XML] pobierz, plaintext 
imports:
    - { resource: services.yml }
 
fos_user:
    firewall_name: frontend
[XML] pobierz, plaintext 

Niestety takie coś nie działa... brany jest pod uwagę zawsze pierwszy firewall, niezależnie od wykorzystywanego bundla (w tym wypadku frontend). Niezależnie od wartości fos_user:
firewall_name: backend w config.yml w BackendBundle. Próbowałem tez rozdzielić security.yml dla kazdego z bundli osobno ale pojawił się błąd: Please define all elements for this path in one config file, więc wróciłem do jednego, głównego pliku security z dwoma firewallami.

Prośba o pomoc do kogoś, kto już przez to przebrnął.

Pozdrawiam i z góry dzięki za pomoc.

Ok udało mi się dotrzeć do mechanizmu powstałego w sf 2.2.

services.yml:

[XML] pobierz, plaintext 
services:
    # firewall different hosts services
    site.frontend.request_matcher:
        class: Symfony\Component\HttpFoundation\RequestMatcher
        arguments: ["/", "^(?!cms)(.*)$"]
 
    site.backend.request_matcher:
        class: Symfony\Component\HttpFoundation\RequestMatcher
        arguments: ["/", "^cms(.*)$"]
[XML] pobierz, plaintext 

security.yml:

[XML] pobierz, plaintext 
firewalls:
        dev:
            pattern:  ^/(_(profiler|wdt)|css|images|js)/
            security: false
 
        login:
            pattern: ^/login
            anonymous: true
 
        frontend:
            request_matcher: site.frontend.request_matcher
            pattern: ^/
            form_login:
                provider: fos_userbundle
                csrf_provider: form.csrf_provider
            logout:       true
            anonymous:    true
 
        backend:
            request_matcher: site.backend.request_matcher
            pattern: ^/
            form_login:
                provider: fos_userbundle
                csrf_provider: form.csrf_provider
            logout:       true
            anonymous:    false
 
[XML] pobierz, plaintext 

I teraz działa jak powinno, tzn. na domenie bez 'cms' user jest jako anonymous i wpuszcza na aplikację, na domenie z 'cms' natomiast jako niezalogowany i przekierowuje go na ekran logowania.

Problem w tym, że Symfony2 analizuje dostęp do zasobów po właśnie patternach, które zdefiniowane są w security.yml - w tym wypadku oba patterny były identyczne - dlatego zawsze tylko pierwszy był brany pod uwagę (nie zważając na nazwę hosta). Konfiguracja z config.yml (firewalla dla fos_user'a) nie miała wpływu na proces autoryzacji, który przeprowadzany jest przed inicjalizacją konfiguracji dla bundle'i, nie wiem nawet po co ten parametr tam jest. ;p

Rozwiązaniem jest nadpisanie RequestMatcher'a o weryfikację hosta - tutaj jednak z pomocą przychodzi parametr arguments w konfiguracji, który zastępuje konieczność nadpisywania tego service'u.

Istnieje nawet Issue na GitHubie, który traktuje o możliwości przypisania firewalla do konkretnego hosta - jednak od pół roku nic się w tej sprawie nie stało (zapewne ze względu na istniejącą możliwość, którą pokazałeś). Jeśli masz ochotę dorzuć komentarz na https://github.com/symfony/symfony/issues/7103 - może ktoś przyjrzy to jeszcze raz. : )