Discussion :

[Racha07]

Bonjour tout le monde.

Je sollicite votre aide pour régler un problème qui me torture depuis longtemps.

Je voudrai gérer les droits d'accès des utilisateurs après leur authentification à l'application.
Chaque utilisateur a un profil bien déterminé, et chaque profil à la possibilité de traiter et d'ajouter... L'administrateur par exemple a tout les droits à savoir: la création,la suppression, la modification, la consultation et bien d'autres droits. L'agent par exemple n'a le droit qu'à la consultation.

Ma question est la suivante: comment pourrai-je gérer ceci, sachant que tout les utilisateurs sont dirigés vers la même page après authentification?
Je voudrai jouer sur les boutons, faire disparaître les options auxquels l'utilisateur en session n'a pas droit selon son profil. EN d'autres termes, l'administrateur doit avoir tous les boutons actifs, l'agent par contre ne doit pas avoir la main sur certains boutons.

Des solutions à me proposer s'il vous plait?

Je travaille avec php5 et l'ORM activeRecord pour faire la connexion à ma base de données MySQL.

Je vous remercie d'avance.

[mathieu]

Ce genre d'accès se gèrent généralement en associant un rôle à chaque utilisateur connecté.
Dans votre exemple, il y aurait des utilisateurs avec le rôle "administrateur" et des autres avec le rôle "agent".

Ensuite, une possibilité dans votre code est de testez le rôle de l'utilisateur connecté.
L'autre possibilité, beaucoup plus souple si vous avez plusieurs rôles, est d'associer des autorisations à chaque rôle. Par exemple l'administrateur à toute les autorisations, l'agent à l'autorisation "lire dossier" et le responsable des agents à les autorisations "lire dossier", "créer nouvel agent". Et comme ça votre code a juste besoin de tester si l'utilisateur connecté à l'autorisation concernée.

[ABCIWEB]

Je voudrai jouer sur les boutons, faire disparaître les options auxquels l'utilisateur en session n'a pas droit selon son profil.

Oui mais pas que sur les boutons. Les traitements et requêtes qui permettent des ajouts/modifications/suppression doivent également être protégés et autorisés suivant les droits permis... sinon c'est assez facilement piratable.

Pour le reste la seconde solution proposée mathieu avec le système d'autorisation ciblée pour chaque rôle est la solution que je retiendrais à priori. A toi de voir si elle peut te convenir car y'a pas de solution passe partout. Juste pour dire qu'il faut absolument bien définir le cahier des charges à ce niveau avant de choisir un système adapté sinon ça peu devenir très compliqué à gérer. Enfin cette solution a quand même un potentiel évolutif beaucoup plus important que le simple test du rôle (administrateur, rédacteur, lecteur etc.).

[Racha07]

BOnjour,
Tout d'abord je vous remercie mathieu et ABCIWEB pour votre retour.
Votre idée est bien claire, et en fait j'ai déja associé pour chaque utilisateur un rôle, sauf que je l'ai nommé profil.
Mais concernant les autorisations j'aimerai bien savoir est ce que je dois avoir une table toute indépendante dans laquelle j'aurai toutes les autorisations qui concernent mes profils ou bien je dois les gérer au niveau du code?

[ABCIWEB]

Cela dépend de la complexité que veux veux pouvoir gérer, de l'architecture de ton code et des évolutions possibles.

Enfin bon si tu vois une solution assez simple qui répond a tes besoins, pas la peine d'essayer de faire un truc trop généraliste sinon cela devient vite un gros chantier. Il y a des livres entiers qui traitent de ce sujet... "assez" complexe