Discussion :

[laureTSL]

Bonjour,
J'ai un dossier de fichier pdfs à la racine de mon projet symfony. Lorsqu' un utilisateur saisit le chemin complet vers un pdf, le fichier s'affiche même si l'utilisateur n'est pas connecté à l'application.
Comment bloquer toute tentative d'accès à un fichier du projet si l'utilisateur n'est pas connecté?

Merci.

[ABCIWEB]

Salut,

Je ne peux pas te répondre spécifiquement pour symfony.
Par contre d'une manière générale il suffit de mettre tes fichiers pdf dans un dossier protégé par un fichier .htaccess avec la mention "deny from all". Cela interdira l'accès à ces fichiers depuis une url. Ensuite tu pourras les faire lire par php (après connexion) avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
header('Content-type: application/pdf');
readfile("PROTEGES/mon_fichier.pdf");

Une variante consiste à proposer le fichier en téléchargement.

[damiensan]

Si un utilisateur a accès aux fichiers c'est qu'ils sont sous le répertoire web, n'est-ce pas ?

Ce n'est pas une bonne pratique. Les fichiers présents sous web sont les fichiers publiques qui peuvent être accédés par n'importe qui (utilisateurs, robot comme google, aspirateur de site).

Or tu veux gérer des autorisations sur ces fichiers. Je te recommande donc des les mettre dans un dossier "uploads" ou "data" que tu placeras au même niveau que web. Il sera donc inaccessible (n'oublie pas ta config htaccess pour la sécurité).

Ensuite il te faudra créer une route qui permettra la récupération de ces fichiers. Exemple : www.mon-site.com/download/nom-du-fichier.pdf

Cette route appellera une fonction de controller et dans cette fonction tu pourras parfaitement autoriser le téléchargement du fichier ou l'interdire.

Ainsi tes fichiers sont parfaitement sécurisés, non accessibles depuis l'extérieur. Tu peux même les renommer avant envoi, stocker en base le fait que le fichier ait été téléchargé… bref tu peux tout faire.

[laureTSL]

Ok!Merci ABCIWEB et Damiensan.Je teste tout cela et je reviens vers vous.

[laureTSL]

J'ai testé et ce n'est pas toujours résolu; quand l'utilisateur n'est pas connecté, il n'a pas accès au dossier pdf. Même quand il est connecté une erreur 403 est générée lorsqu'il veut accéder à un fichier du dossier pdf. Je vais vous décrire plus explicitement ce que je fais:
J'ai un dossier pdf à la racine de mon projet symfony qui contient des fichiers pdfs et un fichier .htaccess qui contient "deny from all".
j'ai une vue twig qui contient un bouton qui permet de déclencher l'export de l'iframe contenue dans la page. Lorsqu'on clique sur le bouton de l'export une requête ajax est construite; Dans la requête ajax je fais appel à un controlleur qui va faire l'export et me retourner l'url du pdf généré. Quand la requête ajax recoit une réponse de succès il ouvre le pdf en utilisant l'url qui a été envoyé. Pour cela j'utilise un window.open(url_du_pdf_genere); L'export est bien réalisé mais l'ouverture du fichier avec window.open me renvoi une erreur 403.

Ma question est comment ouvrir le pdf qui est protégé avec htaccess avec jquery?
Sinon quel autre principe je pourrai utiliser pour réaliser cela?j'aimerai que lorsqu'on clique sur le bouton d'export, à la fin de l'export un nouvel onglet est ouvert et contient le pdf généré.

[ABCIWEB]

Il faut faire lire le fichier par php comme dans l'exemple que j'ai donné. Pas besoin de passer par jquery.