How to Impersonate a User

Sometimes, it's useful to be able to switch from one user to another without having to log out and log in again (for instance when you are debugging something a user sees that you can't reproduce).

場合によっては、ログアウトして再度ログインしなくても、あるユーザーから別のユーザーに切り替えることができると便利です (たとえば、ユーザーが再現できないものをデバッグしている場合)。

Caution

注意

User impersonation is not compatible with some authentication mechanisms (e.g. REMOTE_USER) where the authentication information is expected to be sent on each request.

ユーザー偽装は、リクエストごとに認証情報が送信されることが期待される一部の認証メカニズム (REMOTE_USER など) と互換性がありません。

Impersonating the user can be done by activating the switch_user firewall listener:

ユーザーの偽装は、switch_user ファイアウォール リスナーを有効にすることで実行できます。
  • YAML
    YAML
  • XML
    XML
  • PHP
    PHP
1
2
3
4
5
6
7
8
 
# config/packages/security.yaml
security:
    # ...

    firewalls:
        main:
            # ...
            switch_user: true

To switch to another user, add a query string with the _switch_user parameter and the username (or whatever field our user provider uses to load users) as the value to the current URL:

別のユーザーに切り替えるには、現在の URL の値として _switch_user パラメータとユーザー名 (またはユーザー プロバイダーがユーザーを読み込むために使用する任意のフィールド) を含むクエリ文字列を追加します。
1
 
http://example.com/somewhere?_switch_user=thomas

Tip

ヒント

Instead of adding a _switch_user query string parameter, you can pass the username in a custom HTTP header by adjusting the parameter setting. For example, to use X-Switch-User header (available in PHP as HTTP_X_SWITCH_USER) add this configuration:

_switch_user クエリ文字列パラメーターを追加する代わりに、パラメーター設定を調整してカスタム HTTP ヘッダーでユーザー名を渡すことができます。たとえば、X-Switch-User ヘッダー (PHP では HTTP_X_SWITCH_USER として使用可能) を使用するには、次の構成を追加します。
  • YAML
    YAML
  • XML
    XML
  • PHP
    PHP
1
2
3
4
5
6
7
 
# config/packages/security.yaml
security:
    # ...
    firewalls:
        main:
            # ...
            switch_user: { parameter: X-Switch-User }

To switch back to the original user, use the special _exit username:

元のユーザーに戻すには、特別な _exit ユーザー名を使用します。
1
 
http://example.com/somewhere?_switch_user=_exit

This feature is only available to users with a special role called ROLE_ALLOWED_TO_SWITCH. Using role_hierarchy is a great way to give this role to the users that need it.

この機能は、ROLE_ALLOWED_TO_SWITCH と呼ばれる特別な役割を持つユーザーのみが利用できます。role_hierarchy を使用すると、この役割を必要とするユーザーに与えることができます。

Knowing When Impersonation Is Active

You can use the special attribute IS_IMPERSONATOR to check if the impersonation is active in this session. Use this special role, for instance, to show a link to exit impersonation in a template:

特別な属性 IS_IMPERSONATOR を使用して、このセッションで偽装がアクティブかどうかを確認できます。たとえば、この特別な役割を使用して、テンプレートで偽装を終了するためのリンクを表示します。
1
2
3
 
{% if is_granted('IS_IMPERSONATOR') %}
    <a href="{{ impersonation_exit_path(path('homepage') ) }}">Exit impersonation</a>
{% endif %}

Finding the Original User

In some cases, you may need to get the object that represents the impersonator user rather than the impersonated user. When a user is impersonated the token stored in the token storage will be a SwitchUserToken instance. Use the following snippet to obtain the original token which gives you access to the impersonator user:

場合によっては、偽装されたユーザーではなく、偽装ユーザーを表すオブジェクトを取得する必要があります。ユーザーが偽装されると、トークン ストレージに格納されたトークンは SwitchUserToken インスタンスになります。次のスニペットを使用して、偽装ユーザーにアクセスできる元のトークンを取得します。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 
// src/Service/SomeService.php
namespace App\Service;

use Symfony\Bundle\SecurityBundle\Security;
use Symfony\Component\Security\Core\Authentication\Token\SwitchUserToken;
// ...

class SomeService
{
    private $security;

    public function __construct(Security $security)
    {
        $this->security = $security;
    }

    public function someMethod()
    {
        // ...

        $token = $this->security->getToken();

        if ($token instanceof SwitchUserToken) {
            $impersonatorUser = $token->getOriginalToken()->getUser();
        }

        // ...
    }
}

Controlling the Query Parameter

This feature needs to be available only to a restricted group of users. By default, access is restricted to users having the ROLE_ALLOWED_TO_SWITCH role. The name of this role can be modified via the role setting. You can also adjust the query parameter name via the parameter setting:

この機能は、制限されたユーザー グループのみが使用できる必要があります。デフォルトでは、アクセスは ROLE_ALLOWED_TO_SWITCH ロールを持つユーザーに制限されています。このロールの名前は、ロール設定で変更できます。パラメータ設定でクエリ パラメータ名を調整することもできます。
  • YAML
    YAML
  • XML
    XML
  • PHP
    PHP
1
2
3
4
5
6
7
8
 
# config/packages/security.yaml
security:
    # ...

    firewalls:
        main:
            # ...
            switch_user: { role: ROLE_ADMIN, parameter: _want_to_be_this_user }

Redirecting to a Specific Target Route

6.2

6.2

The target_route configuration option was introduced in Symfony 6.2.

target_route 設定オプションは Symfony 6.2 で導入されました。

Note

ノート

It works only in a stateful firewall.

ステートフル ファイアウォールでのみ機能します。

This feature allows you to control the redirection target route via target_route.

この機能を使用すると、target_route を介してリダイレクト ターゲット ルートを制御できます。
  • YAML
    YAML
  • XML
    XML
  • PHP
    PHP
1
2
3
4
5
6
7
8
 
# config/packages/security.yaml
security:
    # ...

    firewalls:
        main:
            # ...
            switch_user: { target_route: app_user_dashboard }

Limiting User Switching

If you need more control over user switching, you can use a security voter. First, configure switch_user to check for some new, custom attribute. This can be anything, but cannot start with ROLE_ (to enforce that only your voter will be called):

ユーザーの切り替えをさらに制御する必要がある場合は、セキュリティ投票者を使用できます。最初に、switch_user を構成して、新しいカスタム属性をチェックします。これは何でもかまいませんが、ROLE_ で始めることはできません (投票者だけが呼び出されるようにするため):
  • YAML
    YAML
  • XML
    XML
  • PHP
    PHP
1
2
3
4
5
6
7
8
 
# config/packages/security.yaml
security:
    # ...

    firewalls:
        main:
            # ...
            switch_user: { role: CAN_SWITCH_USER }

Then, create a voter class that responds to this role and includes whatever custom logic you want:

次に、このロールに応答し、必要なカスタム ロジックを含むボーター クラスを作成します。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
 
// src/Security/Voter/SwitchToCustomerVoter.php
namespace App\Security\Voter;

use Symfony\Bundle\SecurityBundle\Security;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Authorization\Voter\Voter;
use Symfony\Component\Security\Core\User\UserInterface;

class SwitchToCustomerVoter extends Voter
{
    private $security;

    public function __construct(Security $security)
    {
        $this->security = $security;
    }

    protected function supports($attribute, $subject): bool
    {
        return in_array($attribute, ['CAN_SWITCH_USER'])
            && $subject instanceof UserInterface;
    }

    protected function voteOnAttribute($attribute, $subject, TokenInterface $token): bool
    {
        $user = $token->getUser();
        // if the user is anonymous or if the subject is not a user, do not grant access
        if (!$user instanceof UserInterface || !$subject instanceof UserInterface) {
            return false;
        }

        // you can still check for ROLE_ALLOWED_TO_SWITCH
        if ($this->security->isGranted('ROLE_ALLOWED_TO_SWITCH')) {
            return true;
        }

        // check for any roles you want
        if ($this->security->isGranted('ROLE_TECH_SUPPORT')) {
            return true;
        }

        /*
         * or use some custom data from your User object
        if ($user->isAllowedToSwitch()) {
            return true;
        }
        */

        return false;
    }
}

That's it! When switching users, your voter now has full control over whether or not this is allowed. If your voter isn't called, see How to Use Voters to Check User Permissions.

それでおしまい!ユーザーを切り替えるとき、投票者はこれを許可するかどうかを完全に制御できるようになりました。投票者が呼び出されない場合は、投票者を使用してユーザー権限を確認する方法を参照してください。

Events

The firewall dispatches the security.switch_user event right after the impersonation is completed. The SwitchUserEvent is passed to the listener, and you can use this to get the user that you are now impersonating.

偽装が完了した直後に、ファイアウォールは security.switch_user イベントをディスパッチします。 SwitchUserEvent がリスナーに渡され、これを使用して現在偽装しているユーザーを取得できます。

The Making the Locale "Sticky" during a User's Session article does not update the locale when you impersonate a user. If you do want to be sure to update the locale when you switch users, add an event subscriber on this event:

ユーザーのセッション中にロケールを「スティッキー」にする記事では、ユーザーを偽装するとロケールが更新されません。ユーザーを切り替えるときにロケールを確実に更新したい場合は、このイベントにイベント サブスクライバーを追加します。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
 
// src/EventListener/SwitchUserSubscriber.php
namespace App\EventListener;

use Symfony\Component\EventDispatcher\EventSubscriberInterface;
use Symfony\Component\Security\Http\Event\SwitchUserEvent;
use Symfony\Component\Security\Http\SecurityEvents;

class SwitchUserSubscriber implements EventSubscriberInterface
{
    public function onSwitchUser(SwitchUserEvent $event): void
    {
        $request = $event->getRequest();

        if ($request->hasSession() && ($session = $request->getSession())) {
            $session->set(
                '_locale',
                // assuming your User has some getLocale() method
                $event->getTargetUser()->getLocale()
            );
        }
    }

    public static function getSubscribedEvents(): array
    {
        return [
            // constant for security.switch_user
            SecurityEvents::SWITCH_USER => 'onSwitchUser',
        ];
    }
}

That's it! If you're using the default services.yaml configuration, Symfony will automatically discover your service and call onSwitchUser whenever a switch user occurs.

それでおしまい!デフォルトの services.yaml 設定を使用している場合、Symfony は自動的にサービスを検出し、ユーザーの切り替えが発生するたびに onSwitchUser を呼び出します。

For more details about event subscribers, see Events and Event Listeners.

イベント サブスクライバーの詳細については、「イベントとイベント リスナー」を参照してください。