Discussion :

[san1981]

Bonjour à tous,

Voilà je démarre avec cakephp en venant de ruby on rails au départ.
J'ai un petit souci avec l'accès à des pages protégées.

En fait j'ai créé une route "/admin" qui est protégé par un accès restreint donc automatiquement lorsqu'on essaie d'accéder à monsite.com/admin, on est redirigé vers une page "/login".

Lorsque j'introduis mon login et mot de passe (ils sont bien corrects et existent dans la dabase), je reçois le message "vous n'avez pas accès à cette page". J'ai cherché dans mon code où pourrait se situer le souci de permission mais je ne vois pas? on dirait que la page que j'essaie d'atteindre (page /admin/promos) n'enregistre pas le fait que je viens de me loguer et du coup me renvoyer toujours vers ma page "/login".

Je mets le code ci-dessous en espérant que vous pourrez m'aider

users_controller.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
<?php
class UsersController extends AppController
{
  var $name = 'Users';
 
    function login(){
    $this->layout = 'admin_default';
    $this->set('title', 'Administration connexion');
    }
 
    function logout(){
    $this->Session->setFlash("Vous êtes maintenant déconnecté.");
    $this->redirect($this->Auth->logout());
    }
}
?>

promos_controller.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
<?php
class PromosController extends AppController {
    var $name="Promos";
 
    function index() {
        $liste_des_promos = $this->Promo->find('all');
        $this->set('promos', $liste_des_promos);
        $this->set('title', 'promotions');
    }
 
    function admin_index(){
         $promosRecents = $this->Promo->find('all');
         $this->set('promosRecents', $promosRecents);
 
    }
}
?>

app_controller.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
 
<?php
class AppController extends Controller
{
  var $helpers = array ('Html', 'Text', 'Form');
 
  var $components = array('Auth');
 
  function beforeFilter()
  {
    if(isset($this->Auth))
    {
      $this->Auth->userModel = 'User';
      $this->Auth->fields = array('username' => 'login', 'password' => 'password');
      $this->Auth->userScope = array('User.disabled' => 0);
      $this->Auth->loginAction = '/users/login';
      $this->Auth->loginRedirect = '/admin/promos';
      $this->Auth->loginError = "username or password not correct";
      $this->Auth->logoutRedirect = '/';
      $this->Auth->authError = "You don't have access to this page.";
      $this->Auth->autoRedirect = true;
      $this->Auth->authorize = 'controller';
 
      if((empty($this->params['prefix']) || $this->params['prefix'] != 'admin') && $this->action != 'login')
      {
        $this->Auth->allow();
      }
    }
  }
 
  function isAuthorized()
  {
    return true;
  }
 
  function beforeRender()
  {
    if(isset($this->params['prefix']) && $this->params['prefix'] == 'admin')
    {
      $this->layout = 'admin_default';
    }
  }
}
?>

les routes:

Router::connect('/admin', array('controller' => 'promos', 'action' => 'index', 'prefix' => 'admin'));
Router::connect('/login', array('controller' => 'users', 'action' => 'login'));

Merci à tous!

[real34]

Lorsque j'introduis mon login et mot de passe (ils sont bien corrects et existent dans la dabase), je reçois le message "vous n'avez pas accès à cette page". J'ai cherché dans mon code où pourrait se situer le souci de permission mais je ne vois pas? on dirait que la page que j'essaie d'atteindre (page /admin/promos) n'enregistre pas le fait que je viens de me loguer et du coup me renvoyer toujours vers ma page "/login".

Bonjour san1981,
Lorsque tu dis que le mot de passe est correct et stocke dans la base de donnees, es-tu sur qu'il l'est de maniere cryptee ?

En effet, le mot de passe est automatiquement crypte par le composant Auth (par defaut c'est du sha1 du mot de passe associe avec un security salt) avant la comparaison. Donc si le mot de passe de ta bdd est "toto" en clair, tu n'arriveras pas a te connecter en tapant "toto" comme mot de passe.

[san1981]

Bonjour san1981,
En effet, le mot de passe est automatiquement crypte par le composant Auth (par defaut c'est du sha1 du mot de passe associe avec un security salt) avant la comparaison. Donc si le mot de passe de ta bdd est "toto" en clair, tu n'arriveras pas a te connecter en tapant "toto" comme mot de passe.

Bonjour Real34,

Pour créer mon user dans ma database, j'ai fait un insert into dans phpMyAdmin directement en utilisant le sha1(12341548motdepasse), le numéro correspondrait à mon numéro security salt de mon core.php.

Si j'ai bien compris le principe de cryptage, lorsque j'essaie de me loguer je peux alors mettre "motdepasse" simplement?

Par contre je ne sais pas si le lien se fait entre le moment où je clique sur "me loguer" et ma base de données car le debug ne renvoie rien après ma tentative de connexion.
Pourtant lorsque j'ouvre ma page /login, le debug me signale 1 query dans la database.

[real34]

Par contre je ne sais pas si le lien se fait entre le moment où je clique sur "me loguer" et ma base de données car le debug ne renvoie rien après ma tentative de connexion.
Pourtant lorsque j'ouvre ma page /login, le debug me signale 1 query dans la database.

Tu ne vois rien car Auth fait une redirection, donc la page que tu vois n'est pas celle qui traite les donnees (et donc fait la requete en traitant les parametres POST).

Si tu veux pouvoir debugguer la requete il te faudra bloquer la redirection en affichant un texte avant (pour generer un "header already sent"), c'est pas hyper propre mais facile a faire !

Ajoutes ce code dans ton UsersController::beforeFilter() :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
	public function beforeFilter() {
		parent::beforeFilter();
		if ($this->action == 'login') {
			debug($this->data); // A ce moment la le mdp n'est pas encore crypte
		}
	}

Et tu devrais maintenant voir en bas de page :
SELECT `User`.`id`, `User`.`login`, `User`.`password`, `User`.`name`, `User`.`is_admin`, `User`.`created`, `User`.`modified` FROM `users` AS `User` WHERE `User`.`login` = 'admin' AND `User`.`password` = '443b651c23077f49a3b5475c31cd070ad396e1bb' LIMIT 1

Verifies que les hash correspondent afin d'eliminer cette eventualite dans la liste des problemes possibles

[san1981]

Ajoutes ce code dans ton UsersController::beforeFilter() :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
	public function beforeFilter() {
		parent::beforeFilter();
		if ($this->action == 'login') {
			debug($this->data); // A ce moment la le mdp n'est pas encore crypte
		}
	}

Et tu devrais maintenant voir en bas de page :
SELECT `User`.`id`, `User`.`login`, `User`.`password`, `User`.`name`, `User`.`is_admin`, `User`.`created`, `User`.`modified` FROM `users` AS `User` WHERE `User`.`login` = 'admin' AND `User`.`password` = '443b651c23077f49a3b5475c31cd070ad396e1bb' LIMIT 1

Verifies que les hash correspondent afin d'eliminer cette eventualite dans la liste des problemes possibles

Bonjour Real34,

En ajoutant la fonction beforeFilter, je ne vois pas ce que je devrais voir je pense? Lorsque j'ai introduit le mot de passe, je vois juste app\controllers\users_controller.php (line 11)

J'ai certainement fait une erreur mais je ne vois pas du tout où

[real34]

Est-ce que tu pourrais copier le code de ton formulaire de connexion ? Il se peut qu'il y ait une erreur avec celui-ci ...