Почему мы не должны проверить объект пользователя, чтобы проверить, если пользователь находится в сети в Symfony2

Question

official Symfony documentation говорит нам следующее:

// yay! Use this to see if the user is logged in 
if (!$this->get('security.authorization_checker')->isGranted('IS_AUTHENTICATED_FULLY')) { 
    throw $this->createAccessDeniedException(); 
} 

// boo :(. Never check for the User object to see if they're logged in 
if ($this->getUser()) { 

} 

Я никогда использовал $this->getUser() до сих пор без проблем, как проверить, если пользователь находится в режиме онлайн и получает текущего зарегистрированного пользователя, и только что обнаружил, что это неправильно. Но я не могу найти, почему это неправильно.

Может ли кто-нибудь сказать или привести пример, где это может вызвать проблему? Я не вижу проблемы, так как он всегда возвращает null (преобразованный из anon., как говорят документы), если никто не зарегистрировался и текущий вход в пользовательский класс как объект с доступом к его методам.

Answer 1

Я думаю, что это вызвано памятными жетонами.

Документы Symfony заявляют следующее:

Пользователей, которые вошли в только из-за «запомнить меня печенье» будет у IS_AUTHENTICATED_REMEMBERED, но не будет иметь IS_AUTHENTICATED_FULLY.

$this->getUser() не делает этого различия, поэтому рекомендуется использовать authorization_checker. По этой причине я полагаю, что эта рекомендация просто делается для того, чтобы избежать потенциальных проблем, с которыми могут столкнуться разработчики, которые не знают об этом факте.