Discussion :

[bender86]

Bonjour,

J'ai besoin de conseils pour un site web avec une administration.
J'aimerai vos conseils pour pouvoir gérer les droits par groupe et ou utilisateur pour le site en allant jusqu'à limiter le droit à voir certaines informations sur certaines pages.
Exemple ne pas voir certains commentaires ou alors ne pas pouvoir ajouter, modifier ou supprimer des composants.

Pour info je dispose d'une base de données MS sql

Merci de vos pistes pour avoir quelque chose de simple à mettre en place et maintenir mais aussi pouvoir descendre assez bas dans la gestion des droits.

[DotNetMatt]

Pour faire quelque chose d'assez simple, tu peux jouer sur des jointures.

Par exemple tu as une table Utilisateur (qui contient la liste de tes utilisateurs), une table TypeCommentaire (qui contient les types de commentaires), et une table Commentaire (qui contient les commentaires). Tu rajoutes une table Utilisateur_Asso_TypeCommentaire qui contiendra en gros les habilitations, c'est-à-dire les types de commentaires qu'il peut voir.

Lorsque tu récupères les commentaires, il te suffira de faire une jointure interne (INNER) avec la table Utilisateur_Asso_TypeCommentaire afin de ne récupérer que les commentaires que l'utilisateur est habilité à voir.

[bender86]

Merci de ta proposition mais les commentaires ne sont qu'un simple exemple et ça me parait bien trop lourd à gérer s'il faut faire ça sur plusieurs champs?

[DotNetMatt]

Ben de toute façon il n'y a pas de solution miracle

Tu vas devoir trouver un compromis, mais ce qui est sûr, c'est que quelle que soit la solution, tu vas avoir du boulot.

La solution des jointures permet des scénarios avancés, tout en restant souple.

Une autre solution consiste à se baser sur le principe des "Claims". Un "Claims" c'est une affirmation : "je peux accéder aux commentaires". Il est possible de créer une liste de Claims, et pour des scénarios plus évolués, de créer des niveaux infinis de sous-listes de Claims...

Cette fois-ci, au lieu de gérer les permissions dans la base de données, on les gère dans l'application. Donc tu vas devoir :
- Modifier la façon dont les utilisateurs s'authentifient (il faudra récupérer les Claims, puis les conserver pendant la durée de la session).
- Modifier le code de ton application pour effectuer les vérifications nécessaires quand il le faut (est-ce que l'utilisateur peut accéder à ça ou pas ?)

Il est aussi possible de les gérer à la fois dans la DB et à la fois dans le code.

Enfin, il y a une autre façon de procéder, qui consiste à utiliser une énumération flag. En combinant les valeurs, tu peux déterminer le niveau de permissions.

Il y a pas mal de solutions, tout dépend des besoins. Vu ce que tu as exposé comme besoin, je te conseille en tout cas de bien étudier ton besoin avant de te lancer dans le code Ce serait dommage de t’apercevoir que tu dois tout refaire une fois arrivé au bout.

[eagleleader]

Bonjour,

J'ai du bosser sur une application qui faisait ce genre de restrictions et j'utilisais la base de données pour faire toutes les vérifications et donc je n'avais absolument rien dans le code.

Le but est de créer le token de l'utilisateur. Par token tu peux créer ce que tu veux ou passer simplement ses credentials. Avec ce token tu le passes en paramètre de chaque appel à une procédure stockée. Et dans chaque procédure appelée tu vérifies ce que l'utilisateur a le droit de voir comme record.

Le procédé est lent à mettre en place au départ car il te faut des tables qui permettent de dire à quelle information l'utilisateur/le groupe a le droit et ensuite ce ne sont que de simples jointures à cette table.

Comme cité plus haut, il n'y a pas de solutions miracle ni qui ne se construise en une seconde.