[Sécurité] Conception d'un module d'administration

[viny]

Bonjour,

Voilà je suis devant un problème que j'aimerai vous soumettre. Je dois concevoir un module d'administration devant valider des profils d'inscrits au site Web. Nous sommes deux personnes minimum à devoir valider ces profils.

Le problème est qu'il ne faut pas que nous soyons amenés à valider les mêmes ! Par conséquent les profils affichés sur un poste ne doivenet pas s'afficher sur l'autre et cela quelque soit le nombre de valideurs.

Avez-vous des suggestions ?

merci à tous

[berceker united]

Il faut placer un status au profil; s'il a été traité ou non. Si deux personnes ouvre le même profil c'est le premier a avoir validé qui coupe l'herbe sous le pied de l'autre qui lui recevra le message comme quoi le profil déjà traité.
Il faut simplement regarder le status avant de pouvoir séléctionné les profils et juste avant la traitement du profil.

[viny]

Oui mais ils peuvent tout à fait ouvrir le même profil non traité

[berceker united]

Citation:

Envoyé par viny

Oui mais ils peuvent tout à fait ouvrir le même profil non traité

Oui mais c'est celui qui aurait traité le profil en premier qui gagne après tu peux t'arranger pour savoir qui l'a ouvert mais comme vous êtes que deux c'est facile.

Il y a la solution de faire en sorte que lorsqu'ont ouvre le profil il ne puisse pas être ouvert par un autre en même temps mais tu vas rentrer dans d'autre problème telle que : Si le profil n'est finalement pas traité comment refermé le profil, combien de temps etc... c'est plus lourd,long, délicat à gérer.

Franchement, ne bloque pas sur ce problème, j'imagine qu'il y a des choses plus important. C'est pas bloquant tu pourras toujours revenir sur ce problème. Au pire si ça te gène quand même tu peux faire en sorte de marquer le profil étant ouvert par telle personne depuis x temps et qu'il est surement en cour d'édition mais ne te bloque pas l'édition du profil mais cela ne retir pas le fait qu'il ne faut pas que le profil puisse être validé plus d'une fois.

[viny]

ouaih non c pas une solution acceptable pour moi...

J'y réfléchis

[pimpmyride]

Une solution tout simple
tu crée un nouveau champs dans ta base sql pour chaque profil que tu appel par exemple validation. Ce champs peut prendre 4 valeurs : en attente, ouvert, accepter, refuser.

- L'internaute s'inscrit le champrs prend la valeur en attente.
- Toi ou ton collegue ouvrez le profil pour le consulter tu passes la valeur a ouvert, ainsi si quelqu'un veut ouvrir le profil il ne peut pas (faut coder ca mais c pas dur, juste une petite verif)
- tu acceptes ou refuse le profil le champ prend comme valeur accepter ou refuser (autre verif a faire)

et voila le tour est joué.

je te conseil de remlacer les valeurs dans mysql de en attente par 0, ouvert par 1, accepter par 3 et refuser par 3

[viny]

ça ne résoud rien car on peut etre à plusieurs à ouvrir les mêmes profils en attente !

[pimpmyride]

non
tu as mal lu

si tu ouvres le profil, tu passes ton champs à ouvert ce qui empeche ton collegue d'ouvrer ce profil.

[berceker united]

Ben c'est ce que j'ai proposé mais sans donner de détaild à savoir comment faire mais avec cette solution c'est que si un ouvre mais qu'il ne valide pas pour x raisons comment réinitialisé le champs, à quel moment sous quels critères. Surtout que vous êtes que deux, j'aurais compris si le nombre pouvais être plus élevé.
Voila pourquoi j'ai dis que c'est pas forcément la peine d'aller se prendre la tête pour ça et qu'il était préférable de gérer cela au moment de la validation maintenant si tu as du temps devant toi vas y lance toi .

[viny]

non c'est toi qui ne comprend pas... avant de passer le champ à ouvert on peut être plusieurs à afficher les mêmes profils !

[berceker united]

Ha ben c'est ce que j'ai dis plus haut alors .
Ouvrir mais dire qu'il y a déjà une personne qui consulte ce profil depuis x temps. Le temps permets de savoir si c'est ressaet ou pas. Ainsi a toi de voir si tu te permet de valider ou non. Si tu vois que c'est ouvert depuis 1000ans bon ben tu sais quoi faire

[viny]

Vous ne gérez en aucune manière la concurrence d'accès dans vos deux solutions. Cela ne résoud pas le problème car avant de "marquer" le profil on peut très bien l'afficher sur plusieurs postes car il y a un état initial pour chaque requête que vous occultez...

[pimpmyride]

vous cherchez la petite bête.
Il suffit de rajouter un champ date avec la date du jour d'ouverture du profil et l'heure, si le temps depasse 20 minutes alors on peut ouvrir le profil a nouveau.

[berceker united]

Citation:

Envoyé par viny

Vous ne gérez en aucune manière la concurrence d'accès dans vos deux solutions. Cela ne résoud pas le problème car avant de "marquer" le profil on peut très bien l'afficher sur plusieurs postes car il y a un état initial pour chaque requête que vous occultez...

Ce que tu cherches à géré, d'autre y ont pensé. La concurrence d'accès à l'information se règle qu'au moment ou tu le marque il est pas forcement facile de le gérer avant c'est les limites du http a moin de passer par ajax qui peut faciliter les choses.
Là, ça a plus d'importante que de savoir qui le consulte au même instant

Deux personnes ouvre le même profile.

A et B ouvre le profil P
A valide le profil P
B valide le profile P
B à un retour disant que le Profil à déjà été validé par A.

Autre solution

A ouvre le profil P
B ouvre le profil p
B recoit un message disant que A à déjà ouvert le profil P
A valide le profil P
B valide le profile P
B à un retour disant que le Profil à déjà été validé par A.

[berceker united]

Citation:

Envoyé par pimpmyride

vous cherchez la petite bête.
Il suffit de rajouter un champ date avec la date du jour d'ouverture du profil et l'heure, si le temps depasse 20 minutes alors on peut ouvrir le profil a nouveau.

En faite, je ne sais pas trop ce qu'il veut.
- Empêcher l'ouverture d'un profil déjà ouvert.
- Peut l'ouvrir mais savoir qu'il y a quelqu'un déjà dessus et de pouvoir valider ou non.
- Empêcher que deux personnes puissent valider le même profil.

[viny]

Non c'est pas ça...laissez tomber et merci quand même pour vos contributions...

[Pahcixam]

J'ai peux-être moi aussi mal compris, mais si tu veux que chacun des administrateur est un nombre équivalent de profils à valider, sans voir celui de l'autre, tu peut lors de l'inscription, enregistrer la valeur courante de l'id de l'admin dans le champs du joueur, et tu l'a fait évoluée de cette manière:

A admin, avec id 1 et 2

joueur 1 --> id_admin=1
joueur 2 --> id_admin=2
joueur 3 --> id_admin=1
joueur 4 --> id_admin=2
joueur 5 --> id_admin=1

Et dans ta page d'administration tu affiche seulement les profils qui ont le même id que l'admin connecté.

Voilà

@+