Discussion :

[scude]

Bonjour à vous,

Je vous explique un peu mon problème, je souhaite mettre en place une sécurité à plusieurs niveau dans mon application.

J'ai donc un formulaire de login (celui par défaut) ainsi qu'un système de Membership comme suit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
  protected void Application_Start()
        {
            AreaRegistration.RegisterAllAreas();
 
            Service1Client wcf = new Service1Client();
 
           foreach(var trol in wcf.getListEmploye()){
               MembershipCreateStatus createStatus;
               Membership.CreateUser(trol.nom, trol.password, trol.email, null, null, true, null, out createStatus);
               if (createStatus == MembershipCreateStatus.Success)
               {}
               else
               {}
            }
            RegisterGlobalFilters(GlobalFilters.Filters);
            RegisterRoutes(RouteTable.Routes);
        }

J'ai un équivalent de ce code à chaque création d'employé.

Pour ce qui est d'autoriser l'application aux membres enregistrés c'est bon.

Par contre j'ai besoin de bloquer l’accès à certaines actions dans mes contrôleurs selon le statut d'un employé.

J'avais pensé à créer des rôles mais je n'y arrive pas, j'ai l'impression que ce n'est pas adapté à l'authentification par formulaire.

Quel est la bonne pratique ?

Merci à vous de m'éclairer

[estacado]

La bonne pratique avec mvc serait plutôt d'injecter les dépendances via un bootstrapper appeler sur l'application_start.

Ainsi ce dernier charge les dépendances via de l'ioc.
Puis lance les étapes de configuration des dll en nécessitant.

Dans le lot, il y aurait donc une couche adapté fournissant une implémentation du membership, et de la gestion des rôles.

Et ensuite d'injecter via cette implémentation.

ALors vous n'aurez plus qu'à utiliser le membership de façon classique pour authorise ou non les accès aux action/controlleurs. Via des attributs sur les classes méthode.

Avec quelque chose comme :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 [CustomerAuthorize(Role.Administrator)]
    public class ArticlesController:BaseController
    {...}

baseController est une classe abstraite se chargeant de gérer l'aspect authentification via la surcharge de la méthode d'initialisation du controlleur et en lui ayant au préalable injecter l'implémentation que vous avez pour gérer l'authentification.

Par contre cela demande un peu de développement car beaucoup de "plomberie" à mettre en place surtout si vous commencez à mettre des aspects d'authentification directement sur le Application_Start car la vous allez avoir de gros problème de maintenance au fil des évolutions de l'applicatif.

Tantis qu'en passant par un peu "de plomberie initiale" vous rendrez les choses beaucoup plus simple à modifier au cours du temps.

Si j'ai du temps, je vais essayer de mettre en avant la démarche à suivre de bout en bout, car la il faudrait que je vous fournisse plusieurs sites et de plus je ne sais pas si vous êtes familliarisé avec les contenairs ioc.

[yonpo]

Salut,

Utilise l'attribut Authorize au niveau des actions

Code c# :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
[Authorize]
public ActionResult Index()
{
...
}

Pour plus d'info, regarde : http://www.pluralsight-training.net/...net-mvc3-intro dans Security and ASP.NET MVC 3

[scude]

Merci à vous deux, la première solution proposée n'est pas encore de mon niveau, en revanche la deuxième fonctionne à merveille