Discussion :

[penchu]

Bonjour,

je suis en train de développer un petit extranet sur un de mes sites web.
Sur cet extranet, accessible via login et mot de passe (sqlmembershipprodiver standard), les utilisateurs auront accès à des fichiers pdf qui ne seront visibles que par eux.
Le contenu de mon site est stocké dans une base SQL Server 2008 Express, et je compte donc m'en servir pour mon extranet.
Ces fichiers pdf seront stockés sur le serveur web (dans l'idéal, la structure de stockage sera la suivante : MON_SERVEUR\DOSSIER_ANNEE\DOSSIER_MOIS\DOSSIER_JOUR.

Mon problème est que, premièrement, je ne sais pas quelle méthode utiliser pour lister et afficher les pdf en fonction de l'utilisateur.
Ensuite, une personne responsable de l'extranet mettra à disposition les fichiers pdf (dans les bons dossiers) et cette même personne devrait faire en sorte de matcher un client de l'extranet avec tel et tel fichier pdf qu'il vient d'uploader.

Voilà l'idée globale du projet, mais je ne sais pas comment m'y prendre pour réellement mettre ça en place.

Et éventuellement, pour des raisons de sécurités, il faudrait créer un système de jeton temporaire pour chaque fichier pdf.

Auriez-vous des idées?

Merci à tous

[Immobilis]

Salut

Auriez-vous des idées?

Y'a des chances, mais il faudrait que tu apportes un peu plus que cette expression de besoin minimaliste...

Déjà il y a plusieurs sujets:

• Identification;
• Sécurité;
• Stockage de fichiers.

Chacun devrait être traité séparément (via un projet dédié par exemple). L'identification et le contrôle d'accès à une application sont des questions pour lesquelles il y a de nombreuses réponses sur internet.

Pour le stockage de fichiers, c'est la base de données qui contiendra toutes les informations. Il n'est pas nécessaire de les ranger. Si malgré tout tu veux le faire, pose toi la question de savoir comment tu voudrais y accéder si tu devais aller chercher dedans. C'est un peu comme une bibliothèque.

A+

[penchu]

Bonjour Immobilis,

merci pour ton retour.

Au niveau de l'identification et du contrôle d'accès, j'ai déjà fait une bonne partie du travail, dans le même projet, mais ça fonctionne très bien (même s'il y a certainement moyen d'améliorer la sécurité, mais ...).

Je souhaiterai en fait stocker dans la db le chemin (relatif) des fichiers, en association avec l'identifiant de la personne qui pourra visualiser ce(s) fichier(s).

J'avais pensé mettre les fichiers sur le serveur web, dans un dossier par utilisateur.
L'utilisateur verra alors la hiérarchie de ses dossiers et fichiers qui lui sont autorisés.

Les fichiers seront uploadés par une seule personne dans les bons dossiers.
Ca me semble une solution facile en terme de gestion (upload et visualtion des fichiers), mais si je fais ça, comment mettre en place une sécurité d'accès sur les dossiers?
Comment empêcher qu'un fichier soit visible par n'importe qui qui tenteraient d'y avoir accès?

Merci

[Immobilis]

Comment empêcher qu'un fichier soit visible par n'importe qui qui tenteraient d'y avoir accès?

Le serveur sur lequel sont les fichiers doivent rester inaccessibles directement. Il faudra passer par l'application web. C'est ce que tu comptais faire ou sinon, j'ai pas compris le besoin.

A+

[penchu]

En fait, oui, le visiteur doit se loguer sur le site web pour avoir accès l'extranet et ainsi pouvoir voir les fichiers disponibles pour lui.
Tant qu'il n'est pas logué, il est redirigé vers la page de login.
Pour cette partie là, c'est ok, mais comment empêcher que le visiteur1 copie l'url d'un fichier qui lui est attribué et ne donne l'url de ce fichier à un visiteur2 (par mégarde pour mauvaise intention).
C'est un peu ça aussi mon problème.

Cordialement,

[PascalL67]

Bonjour,

Pour éviter qu'un utilisateur B puisse télécharger un fichier de l'utilisateur A, il y a une solution très simple :
- mettre en place un HttpHandler ou une page ASPX
- cette page doit vérifier les droits de l'utilisateur (est-ce qu'il a accès au fichier),
- si oui, la page doit envoyer le contenu du fichier PDF (et surtout pas faire de redirection vers le fichier sur le serveur).

Avec ce mécanisme, chaque demande va passer par l'application web et donc valider les droits.

Pour plus de sécurité, le fichier PDF "original" ne doit pas être accessible directement par un navigateur Web.

Pascal