Authentification à l'aide des rôles ASPNET : problème définition des droits d'accès.

[yohannp]

Bonjour à tous,

pour commencer, une bonne année à tout ceux qui me liront.

Je vous expose mon problème sur lequel je bloque depuis plus d'une journée.

Dans le cadre de mon emploi, je travaille actuellement sur une application Aspnet MVC3 Razor pour la gestion de fiches diverses. L'accès au SI se fait via l’authentification par forms (Jusque là pas de problème).

J'utilise ELMAH pour les erreurs non catchées, ce qui me permet de traiter ces erreurs par la suite. ELMAH fournit une interface pour visualiser les erreurs. Cette interface est accessible via elmah.axd à la racine du site.

Comme les données affichées ne doivent pas être publiques, j'ai mis en place une règle dans le web.config :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
  <location path="elmah.axd">
    <system.web>
      <httpHandlers>
        <add verb="POST,GET,HEAD" path="elmah.axd" type="Elmah.ErrorLogPageFactory, Elmah" />
      </httpHandlers>
      <authorization>
        <allow roles="Dev"/>
        <deny users="*" />
      </authorization>
    </system.web>
  </location>

Ce code doit autoriser tous les users qui sont dans le rôle "Dev" et refuser tous les autres.

Or, si je me connecte avec un user qui est dans le rôle "Dev", l'accès à la page est refusé.

En revanche, si j'autorise l'utilisateur en particulier dans le web config, je peux accéder à la page sans problème.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<allow users="yohann.pansard@gmail.com"/>

J'ai vérifié plusieurs fois dans ma table Aspnet_usersinroles et tout est bon.

Mon roleManager doit être bon puisque je me sers de ces mêmes rôles dans l'application (par exemple Role.IsUserInRoles("toto", "reader")). Au cas où, voici la configuration de mon rolemanager :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
<roleManager enabled="true" cacheRolesInCookie="false" defaultProvider="AspNetSqlRoleProvider">
      <providers>
        <clear />
        <add name="AspNetSqlRoleProvider" type="System.Web.Security.SqlRoleProvider" connectionStringName="ApplicationServices" applicationName="app_demo" />
      </providers>
    </roleManager>

En fait, j'ai l'impression que le lien ne se fait pas entre le user et ses rôles ?

Je dois avoir oublié quelque chose, mais sincèrement, je ne vois pas quel peut être cet élément.

Est ce que quelqu'un pourrait m'aider svp ?


Merci d'avance pour vos réponses.

[Immobilis]

Salut,

Est-ce que la valeur du rôle de l'objet utilisateur correspond bien?

A+

[yohannp]

Bonjour Immobilis,

Merci de prendre le temps de regarder mon problème.

Citation:

Envoyé par Immobilis

Salut,

Est-ce que la valeur du rôle de l'objet utilisateur correspond bien?

A+

La valeur est bien la bonne. J'ai d'ailleurs essayé avec le RoleName et le LoweredRoleName de la BDD mais ça ne change rien.

Pour m'assurer que le user est bien dans le rôle, j'ai contrôlé depuis l'espion que le user connecté possède bien le rôle 'dev', ce qui est le cas.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Roles.IsUserInRole(User.Identity.Name, "Dev")

retourne true et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Roles.GetRolesForUser(User.Identity.Name)

me retourne bien un tableau de string avec une seule valeur qui est le rôle Dev.

Pour autant, je ne peux toujours pas accéder à elmah.axd

Chose bizarre, j'ai fais un test avec une bête page html dans un dossier qui possédait son propre web.config, le problème est le même...

Pour le moment, je sèche totalement sur l'origine du problème !

[Immobilis]

N'ayant pas la solution sous le coude, revois les étapes ici: http://msdn.microsoft.com/en-us/libr...ht000013_step4