AccessDeniedHttpException trên tuyến đường có _access: TRUE

Trong mô-đun tùy chỉnh của mình, tôi có một vài tuyến "xuất bản" không cần bất kỳ loại xác thực nào. Nhiều tháng trước, tôi đã biết rằng tôi có thể đạt được điều này với các yêu cầu sau trong định tuyến.yml:

my_module.myroute:
  […]
  yêu cầu:
    _truy cập: 'TRUE'

Điều này hoạt động trên các tuyến đường hiện tại của tôi.

Bây giờ tôi đang cố gắng thêm một cái mới để phân tích cú pháp ủy quyền tiêu đề HTTP chỉ cho mục đích nhận dạng: mục đích là hiển thị chế độ xem tùy chỉnh trên công cộng dữ liệu mà không cần bất kỳ xác thực hoặc ủy quyền nào. Vì vậy, tôi đã cố gắng tiếp cận tuyến đường tùy chỉnh của mình bằng cách thêm một ủy quyền tiêu đề (thông qua tiện ích mở rộng trình duyệt) và tôi gặp lỗi sau:

Đường dẫn: /CLS/it/pub/quadroxml. Symfony\Thành phần\HttpKernel\Ngoại lệ\AccessDeniedHttpException: 
Phương pháp xác thực được sử dụng không được phép trên tuyến đường này. 
trong Drupal\Core\EventSubscriber\AuthenticationSubscriber->onExceptionAccessDenied() 
(dòng 134 của [...]/core/lib/Drupal/Core/EventSubscriber/AuthenticationSubscriber.php).

Vì vậy, gửi một ủy quyền tiêu đề dường như kích hoạt một số phương thức xác thực ngay cả trên các tuyến đường có _truy cập: 'TRUE'.

Tôi có thể vô hiệu hóa không hoàn toàn tất cả xác thực và ủy quyền trên một số tuyến đường? Ngoài ra, tôi có thể bật "phương thức xác thực đã sử dụng" trên tuyến đường của mình và sau đó chấp nhận bất kỳ mật khẩu nào không? (Tôi chỉ quan tâm đến id người dùng!)

Tôi không chắc về cách chấp nhận bất kỳ mật khẩu nào. Nhưng có một sự khác biệt giữa xác thực người dùng mặc định và cơ bản_auth bạn có thể đang sử dụng cho tuyến đường này. Cái đầu tiên được định nghĩa là toàn cầu:

lõi/mô-đun/người dùng/user.service.yml

user.authentication.cookie:
    lớp: Drupal\user\Authentication\Provider\Cookie
    đối số: ['@session_configuration', '@database', '@messenger']
    thẻ:
      - { tên: xác thực_nhà cung cấp, nhà cung cấp_id: 'cookie', mức độ ưu tiên: 0, toàn cầu: TRUE }

trong khi cái thứ hai thì không:

lõi/mô-đun/basic_auth/basic_auth.services.yml

dịch vụ:
  basic_auth.authentication.basic_auth:
    lớp: Drupal\basic_auth\Authentication\Provider\BasicAuth
    đối số: ['@config.factory', '@user.auth', '@flood', '@entity_type.manager']
    thẻ:
      - { tên: xác thực_nhà cung cấp, nhà cung cấp_id: 'basic_auth', mức độ ưu tiên: 100 }

Trong trường hợp này, tuyến đường cần chỉ định _auth Tùy chọn. Nhìn thấy

https://www.drupal.org/docs/drupal-apis/routing-system/structure-of-routes

Bạn có thể làm hầu hết mọi thứ bạn muốn khi nói đến kiểm soát truy cập, bằng cách xác định kiểm tra truy cập tùy chỉnh thông qua lớp trình điều khiển (1) mà bạn đặt trực tiếp trên tuyến đường cụ thể hoặc bằng cách tạo dịch vụ kiểm tra truy cập của riêng bạn (2).

1. Kiểm tra truy cập thông qua lớp điều khiển
Tài liệu: Kiểm tra truy cập tuyến đường tùy chỉnh

ví dụ.routing.yml

ví dụ:
  […]
  yêu cầu:
    _custom_access: '\Drupal\example\Controller\ExampleController::access'

Ví dụController.php

lớp Ví dụController {

  truy cập chức năng công khai(AccountInterface $account) {
    // Trả lại \Drupal\Core\Access\AccessResultInterface tại đây
  }

}

2. Dịch vụ kiểm tra truy cập
Tài liệu: Kiểm tra truy cập tuyến đường nâng cao

Về cơ bản, bạn làm điều tương tự cung cấp _quyền tham số mà bạn đã sử dụng (được triển khai bởi Trình kiểm tra truy cập mặc định. Vì vậy, bạn tạo một dịch vụ được gắn thẻ và đặt dịch vụ đó thành một yêu cầu trên tuyến đường của mình. Ví dụ từ các tài liệu rất đầy đủ, vì vậy tôi không sao chép nó ở đây.