Discussion :

[Zephire]

Bonjour !
Pour un site communautaire, je veux qu'un utilisateur doive systématiquement renseigner son id et son mdp pour accéder à la page d'édition de son profile. Ceci même s'il est déjà connecté, avec ou sans remember_me. Je ne vois pas si Symfony permet cela.

J'ai bien mis

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

- { path: ^/userupdate, roles: [ROLE_USER, IS_AUTHENTICATED_FULLY] }

dans access_control (security.yaml) mais ça ne change rien. On peut toujours accéder à la page d'update dès que l'on est connecté.

Merci.

[fenrir0680]

Salut,

Je ne sais pas si c'est la manière la plus propre, mais tu pourrait attribuer un rôle spécifique à l'utilisateur pour accéder à cette page.
Avec une page de login réservé.

[Zephire]

En fait, il existe déjà des rôles pour les utilisateurs enregistrés, comme tu peux le voir dans le code avec ROLE_USER , et un super utilisateur qui a des droits supplémentaires.
Je ne crois pas qu'il faille créer un nouveau rôle.
Ce que je veux, c'est que quel que soit le rôle de la personne connectée (USER ou ADMIN) on lui redemande son id+mdp pour accéder à cette fameuse page. Une double sécurité, en fait. Pourquoi ? Parce qu'avec le _remember_me, n'importe qui pourrait subrepticement accéder à cette page en utilisant l'ordinateur de la personne. En effet, une fois connectée, la personne reste connectée grâce à un cookie.
On voit cette fonctionnalité systématiquement sur les sites internet.

[Invité]

Bonjour,

1- il suffit de le déconnecter quand il arrive sur la page.


2- une autre solution est de redemander le mot de passe DANS le formulaire de modification.
C'est ce qui se fait généralement pour les données "sensibles".

[Zephire]

La solution 2 ne va pas, parce qu'il s'agit d'une page d'update où les données de la BDD figurent, dans le but de les modifier. La solution 1 est donc plus adaptée. Elle est tellement simple que je n'y avais pas pensé. Merci

[Zephire]

Bon alors si cela vous intéresse, voici la solution que l'on a trouvé avec mon formateur.
Sachant que j'utilise Guard déjà pour la sécurité et l'identification, la solution est d'utiliser un 2e Guard pour cette page spécifique. Bon je ne l'ai pas fait par faute de temps (et donc j'ai laissé tomber cette fonctionnalité) mais cela semble la solution la plus proche de ce que je veux faire.

Au passage, apparemment le _remember-me_ n'est pas au point avec Symfony. Il y a un 'issue' en route. Et effectivement, ça merdouille: par exemple si je quitte l'appli sans me déconnecter (en filant sur le site du journal Le Monde par exemple) et que je reviens, je suis toujours connecté. Dans tous les cas. Apparemment c'est un problème connu.