• À part le FrameworkBundle, plus aucun autre Bundles pré-installés
• Pratique pour installer uniquement ses propres dépendances (twig, form,… fosrest…) sans les autres
• Permet d’alléger le projet et de gagner en performance pour le core.

• Raccourci pour récupérer un ou plusieurs bundles “sélectionnés par” l’équipe Symfony. Ses packages s’installeront dans le projets et pourront être aussi pré-configurés entre eux.
• Intérêt : Un gain de temps pour la mise en place d’un projet, surtout en dev.

composer create-project “github project” demo

On peut aller très loin dans la sérialization en générant des tableaux JSON-LD d’objets avec Hydra, typer en Microdata.

• JMSSerializer, un outil largement utilisé, souvent proposés pour le bundle FOSRestBundle (dumoins dans les tutoriels que j’ai vu)
• SymfonySerializer, le bundle créé par la team Symfony. Auparavant moins complet que JMSSerializer, cette conférence a été le moyen de montrer ses nouveautés :
  • Maintenant aussi complet que JMSSerializerBundle, il y a plus de configuration possible : filtres, object normalizer…
  • Il est pleinement compatibles avec API Platform (le super framework dédiés au webservice, basé entièrement en Symfony)

En principe il y a 2 type de cache :

• Le cache en mode « Last-Modified » : ça vérifie côté back la date de modif pour récupérer si besoin les nouvelles données. (Contrainte : implique une récupération de données côté back, même infime)
• Le cache façon « expiration » : La données à un cache qui expirera à une date précise. (Contrainte : cette donnée peut être mise à jour avant la fin de l’expiration et ne pas s’afficher)

Pour cela, 2 types de TAG seront renvoyés :

• Le Cache Response :
  • Depuis JMSSerializer et FOSRestBUndle
  • Auto cache dans la partie réponse du fichier (JSON, …)
  • Envoi de “Tagging” (identifiants pour le cache) dans la Response
• Le Cache Invalidate :
  • Listener sur tous les changements
  • Generate ID
  • Envoi vers Varnish (requête socket)

• La donnée mise à cache par Varnish sera donc automatiquement mise à jour.

On peut utiliser plusieurs services de Tokens sur un projet Symfony. Il existe JWT (JSON Web Token) et Oauth2…

Exemple en HEADER, ajouter : « Authorization: Bearer eyJhbGciO… »

Allez voir LexikJWTAuthenticationBundle.

La contrepartie c’est que pour regénérer le Token il faut lui renvoyer des informations. Et plutôt que de lui renvoyer le login/password de l’utilisateur (qu’il soit même crypté ou non, puisqu’on fait du HTTPS), on préfèrera utiliser le Refresh Token.

Le Refresh-Token à une durée de vie plus large mais comme il ne sera pas renvoyé à chaque requête, on peut se permettre de l’expirer dans très longtemps (genre 1 mois). Ce Refresh-Token sera renvoyé dès que le token aura expiré (averti par l’API qui renvoie une erreur 401 unauthorized), et l’API renverra un nouveau token valide (+ un refresh_token bien sûr).

Allez voir JWTRefreshTokenBundle.

• FOSOAuthServerBundle
• LexikJWTAuthenticationBundle
• JWTRefreshTokenBundle
• Composant interne à symfony : AbstractGuardAuthenticator

• L’intérêt est de redécouper un projet en plusieurs services au sein d’un Middleware appelé “Bus d’Event” qui va relier plusieurs clients front (Web, mobile..) vers des micro-services dédiés à une tâche.

• Ça permet en plus d’une mise en place rapide, d’optimiser spécifiquement les configurations des services linux dépendants (nginx, php…)

• Il permet aussi de générer des versions JS compatibles de vos codes JS écrits en ES6, appelé aussi “Transpiler” (nouvelle convention qui diminue drastiquement vos codes sources)
• Un paramètre “Linting” permettra de vérifier si vos codes JS sont corrects et standards
• Pour renvoyer du code JS dans le DOM si jamais vous avez du code JS sur vos page (inline), expose-loader pour ajouter un module au projet global.
• Créez des raccourcis pour réutiliser des librairie dans vos codes comme jQuery avec “webpack.ProvidePlugin({…})”
• Importez vos librairies comme jQuery avec la propriété “loaders: [ { test: require.resolve(‘jquery’), loader: ‘expose?jQuery!expose?$’ } ]”
  • Permet d’importer automatiquement dans un module la dépendance nécessaire.
  • Requiert d’installer la dépendance : “npm install expose-loader –save-dev”
• La configuration se fera côté js : webpack.config.js, vous aurez des champs de base comme le chemin d’entrer à écouter (dossier src/…), le chemin de sortie (www/content/…)
• Un “graph” de dépendance est construit à partir du fichier d’entrée. Les imports de fichiers de différents types se fait grâce aux loaders comme style-loader pour le css ou file-loader pour les fichiers image.
• Les plugins complètent la conversion des fichiers importés.

Allez voir Webpack.

Il faut profiter aussi des différents types d’Events que propose Symfony :

• Ex : l’envoi de cookie peut se faire en appelant un Event qui s’occupera de surcharger la response avec le header qui contiendra ce cookie plutôt que de l’ajouter dans le render() de l’action…

• IaaS : Les infrastructures (hébergement, ressources…) comme Amazon Web Service, ou Microsoft Azure
• CaaS : Les containers (Services…) comme Docker
• PaaS : Les Plateformes (une couche au dessus des Containers, plus applicatives ) comme SensioCloud
• SaaS : Les applications “end-user” Slack, Dropbox, Gmail, Zoho…

• git push –> hook –> PaaS
• Installer les dépendances, config.yml… (construire l’app via un script post install)
• variables d’environnement yaml %env(DATABASE_PASSWORD)%
• App lancée !

Allez voir Sensio.cloud.

• Monitorer son serveur et être alerté dès qu’une ressource est plus réquisitionnée qu’habituellement
• Blacklister des IP qui font trop de requêtes louches (Je pense à Fail2Ban qui même s’il scanne les requêtes cheloues au niveau des logs, fait très bien le boulot)

• Utiliser des le SHA256 pour tout ce qu’il faut crypter au minimum (ex : hash(“sha256”, ‘my_password’);)
• Ou utiliser aussi le BCRYPT
• Laisser la sécurité aux autres : connexion Google, Twitter, Facebook, Github… (multifactor c’est chiant et cher)

Exemples d’Injections SQL :

• “ —  » permet de commenter la suite de la requête. Si la connexion SQL se fait sur une simple requête concaténée des champs en INPUT, on met en commentaire la suite de la requête (“SELECT * FROM user WHERE user.username = admin — AND user.password =”)
• ou encore  » OR 1=1”

• Attaque de type Man in The Middle. Bon ça implique de se faire pirater sa connexion Wifi, donc plus localement. Il faut sécuriser ses mots de passes, pas de WEP, pas de WPA sans sécurité minimale, et surtout éviter de partager tout sur des hotspots wifi gratuits.
• Les Attaques XSS (le retour !)
  • La méthode JSFuck qui consiste à écrire du code JS à base de +! et qui permet de créer du code malicieux sans être détecté (aussi une technique de code indéchiffrable, souvent utilisé pour cacher le code source réel).

• Préférez le |purify (ex : HTMLPurifierBundle) qui supprime tout type de code malicieux inséré dans le contenu.
• Faire attention à la stratégie d’escape dans twig !

Une API c’est pratique pour les applications mobiles, mais c’est aussi un moyen pour les Single-page applications (SPA) de récupérer des données depuis un seul et même endroit.

Principe du SPA :

• Chargement du Template
• Chargement du contenu en JS (requêtes…)
• Écoutes les Actions pour les prochains chargements en JS
• Quelques framework faisant du SPA : AngularJS, ReactJS…

• Peut renvoyer du JSON-LD, un format JSON plus complet qui pourra retourner d’autres données, des formats. Peut retourner des objets (ex class Book = {@type=”book”; … })
• Chaque URL d’API se gère plutôt côté kernel.request que côté action controller à l’ancienne
• Gère les fixtures yml pour populer la base de données
  • nelmio/alice
  • hautelook/AliceBundle
• Compatible avec des webtool client en ReactJS !
  • Admin-on-rest https://marmelab.com/admin-on-rest/
  • Installation par yarn
• Generation de CRUD d’entités
  • yarn global add api-platform-generate-crud
• fetch(« url… »).then(function(){…}); remplace xhr = new XMLHttpRequest();
• https://jakearchibald.com/2015/thats-so-fetch/

Voir API Platform.

• L’utf8mb4 va utiliser 4 octets, c’est plus grand et ça va permettre de stocker plus de données, notamment de nouvelles émoticones, des fonts spéciales etc.
• C’est parfaitement compatible avec les autres caractères UNICODE
• Pour mettre à jour sa base de données SQL :
  • SET NAMES utf8mb4;
• Plus d’infos sur l’utf8mb4 : http://fluxbb.fr/aide/doku.php?id=mysql_charset_collation

Cette méthode de compilation légèrement plus longue va générer un code plus précis mais plus léger (moins de réplications etc) ce qui permettra de créer un code plus rapide.

Plus d’infos sur l’AST : https://wiki.php.net/rfc/abstract_syntax_tree.

• OPCache :
  • Met en cache la compilation du code
  • La première mise en cache est plus lente que dans les précédentes version, mais les chargements suivants n’en seront que plus performants
• Les variables contenants les mêmes valeurs sont à présent stockés aux mêmes endroits
  • ex : $a = ‘foo’; $b = ‘foo’;
  • Passer le cache de string interne à 32MB si important : opcache.interned_string_buffer = 32MB

• $a = « Ok $b, on y va »;
• plus rapide que $a = « Ok « .$b. », on y va »;
• plus rapide que $a = ‘Ok ‘.$b.’, on y va’;