Discussion :

[mgiallu]

Hello, encore moi !

Suite à la mise en place de la gestion des ACL.

J'ai créé tous les modules qui vont bien et maintenant je peux utiliser dans mes pages :

if(!_root::getACL()->can('action','element') ):

et dans les modules le _root::getAuth()->enable(); permet de contrôler que l'utilisateur est bien connecté mais cependant, ce n'est pas parce qu'il est connecté qu'il a le droit d'effectuer une action sur un élément.

Faut-il donc mettre également le test if(!_root::getACL()->can('action','element') ): dans les fonctions ??

Par exemple, ma fonction _delete de mon module permission par exemple commence comme cela :

public function _delete(){

_root::getAuth()->enable();
if(!_root::getACL()->can('delete','permission') ):
_root::redirect('default::index');
endif;

Est-ce correct ?
Cordialement.

Alain.

[imikado]

Oui, il faut soit activer l'authentification sur tout le site, soit ajouter

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

_root::getAuth()->enable();

dans le before() des modules concernés

Il faut ensuite bien vérifier les ACL pour verifier que l'utilisateur en question, connecté, est bien autorisé à faire ceci ou cela

PS: Votre exemple est correct

[mgiallu]

C'est cool, merci pour la réponse.
Alain.

[hadeslabs]

Bonjour,

C'est juste une suggestion. Je sais que pour moi, c'est frustrant de mettre devant les yeux quelque chose que je ne peux pas utiliser.
En plus de votre vérification dans la fonction public function _delete()
Dans votre vue où il y a les liens de suppression ajouter une condition à leur affichage

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
if(!_root::getACL()->can('delete','permission') ):
 
<!-- debut condition -->
  <?php if(_root::getACL()->can('delete','permission') ):  ?>
<a href="<?php echo $this->getLink('monModule::delete',array('id'=>$oObjet->getId()) )?>">Delete</a>
 
<?php endif;  ?>
<!-- fin condition -->

Cordialement

[imikado]

+1, en sécurité on recommande de mettre 2 verrous: 1 sur le bouton, l'autre sur la destination
Afin d'éviter qu'en bidouillant l'url la personne puisse accéder à une page dont il n'avait pas le bouton d'affiché