Discussion :

[mrkinfo]

Bonjour,

Dans un projet ASP.NEt webform je dois faire un menu dynamique càd la liste des pages a afficher se trouve dans la base de donnée. pour cela j'ai utilisé NavigationMenu les items s'affiche en fonction du groupe d'utilisateur (utilisateur 1 a le droit de voir 2 ecans sur 4 par exemple) tout fonctionne correctement voici le code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 MenuItem mn = new MenuItem();
                    mn.NavigateUrl = ge.Ecran.url;
                    mn.Text = ge.Ecran.libelle;
                    NavigationMenu.Items.Add(mn);

J'ai remarqué que si je saisie directement l'url de la page dont je n'ai pas acces elle s'affiche hors justement le but n'est pas juste de cacher les liens.

j'ai l'habitude de faire cela en Winform ce qui ne pose pas problème.!!

Avez vous un idée pour bloquer complétement l'accès a ces pages non authorisé? avez vous une autre façon de faire ?

Merci d'avance pour votre aide!!

[Immobilis]

Salut,

Il faut mettre en place un petit module qui va vérifier à l'entrée de la page que l'utilisateur à bien les permissions. Tu peux éventuellement te baser sur une structure de dossier "Admin", "User"?

A+

[mrkinfo]

re merci pour la réponse!!

J'ai pensé a mettre la liste des ecrans de l'utilisateur dans la session et faire la vérification au niveau du load de chaque page.
est ce un bonne idée ? avez vous utilisé cette méthode ?
(j'ai peur pour les performances!!

[Immobilis]

Question session cela dépend de ton mode d'authentification. Question perfs pas de soucis.

[mrkinfo]

Question session cela dépend de ton mode d'authentification...

authentification par formulaire ( table utilisateur dans la base de donnée métier).

en alogorithme j'ai pendu ce petit bout de code dans le load de la page About.aspx :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
//verification si la session est bien rensigné ce qui veut dire aussi que l'utilisateur est connecté
if (Session["UserSession"] != null)
            {
                Boolean existe = false;
                IList<GroupeEcran> lis = AuthentificationBusiness.GetInstance().GetEcranGroupeByIdGroupe(Convert.ToInt32(((Utilisateur)Session["UserSession"]).idGroupe));
 
                foreach (GroupeEcran ge in lis)
                {
                    if (ge.Ecran.url == "~/About.aspx")
                    {
                        existe = true;
                    }
 
                }
 
                if (existe == false)
                {
                   Response.Redirect("~/Account/Erreur.aspx");
                }
            }

[Immobilis]

Ca me parait pas mal. Pour ce qui est des perfs si tu mets en mémoire la collection derrière cette méthode "GetEcranGroupeByIdGroupe" cela devrait aller. Le test d'une chaîne de caractère est pas forcement ce qu'il y a de mieux mais bon.

EDIT: En réfléchissant un peu plus (réfléchissement Jean-Pierre!) c'est pas terrible... Fixer le nom de la page risque de se payer plus tard...

[Immobilis]

Si je comprend bien la sécurité de ton application se base sur l'appartenance d'un utilisateur et d'une page à un ou plusieurs groupes?
Si c'est le cas, tu pourrais faire en sorte que toutes tes pages disposent d'une propriété (un entier 1, 2 ou 3) qui indiquent à quels groupes elles appartiennent. Tu fais la même chose pour les utilisateurs. Tu n'as plus qu'à comparer en faisant un truc du genre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

bool hasAccess = utilisateur.GroupNumber <= maPage.GroupeNumber;

Ainsi, si le groupe 1 est admin, le 2 superuser et le 3 user:

• 1 a accès aux pages 1, 2 et 3;
• 2 a accès aux page 2 et 3;
• 3 aux pages 3.

C'est le genre de processus que tu peux mettre facilement dans une classe de base dont héritent tes pages web. Dans le cas d'un problème d'accès tu redirige l'internaute.

[mrkinfo]

Bonjour,

En fait dans mon cas, j'ai une modélisation centré sur Groupe. ça simplifie la création des utilisateurs.

Un utilisateur appartient à un groupe et un groupe a le droit de consulter un ou plusieur écran.

Le test d'une chaîne de caractère est pas forcement ce qu'il y a de mieux mais bon

je suis d'accord avec toi mais vue que la comparaison porte sur le nom de ma page je pense que c'est pas très risqué ( je ne fais presque jamais de changement de nom de page)

Merci beaucoup pour ton aide !!

[Immobilis]

Merci beaucoup pour ton aide !!

Tu as résolu ton problème?

[mrkinfo]

Si je me base sur ce que j'ai écris lors du precedent post oui il me reste juste a mettre en session la liste des écrans(page) d'un utilisateur à la connection

Est ce que tu es d'accord sur le fait qu'un nom d'écran (page) ne change pas et du coup pas de soucis pour la comparaison des chaines ? ou bien j'ai mal compris le problème de comparaison de chaines!!

Merci encore

[Immobilis]

Est ce que tu es d'accord sur le fait qu'un nom d'écran (page) ne change pas

Oui, je suis assez d'accord. Par contre, ce qui me chiffonne c'est qu'en faisant ainsi, on ne peut pas bénéficier des fonctionnalités de Visual Studio qui vérifie l'intégrité du code. Que tu mettes "About.aspx" ou "Aboute.aspx" Visual Studio ne verra pas la différence. Il faut que tu mettes en place des tests unitaires pour vérifier cela.
De plus, mettre du code "en dur" a toujours été un truc qui me hérisse le poil. Ce qui est acceptable est de créer une classe statique de constante dans laquelle tu peux mettre ces noms. Cela permet d'être certain de ne jamais faire d'erreur d’orthographe.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
public static class Constants
{
	public static class User
	{
		public static readonly string uGuid = "uGuid";
	}
}

PS: n'oublie pas de cliquer sur le bouton résolu en bas à gauche.

[mrkinfo]

c'est exactement ce que j'ai fait !! des constantes !!

merci encore!!