Discussion :

[ssimpou]

Bonjour à tous et à toutes...

Voila mon souci du jour.

Je suis sur un code déjà établi, et je dois faire des modifs...
La première qui se présente c'est l'application d'une fonction dans un fichier js pour un ROLE_USER bien définit.

Pour être plus clair voici la fonction en question :

Code JavaScript :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
    if(sansChiffre.checked===true);
 
    document.getElementById('global-perio-non-previ').style.display="none";
    document.getElementById('global-cate').style.display="none";
    document.getElementById('global-perio').style.display="none";
    document.getElementById('ratio-periode').style.display="none";
    document.getElementById('pv-periode').style.display="none";
 
    var percentList = document.getElementsByClassName('percent-text')
    var i;
    for (i = 0; i < percentList.length; i++) {
        percentList[i].style.display = 'none';
    }
    var moneyList = document.getElementsByClassName('money-text');
    var i;
    for (i = 0; i < moneyList.length; i++) {
        moneyList[i].style.display = 'none';
    }
}

.avec le Else avec les Chiffres...
Puis-je ajouter une condition après le ===true genre || le ROLE_USER est 'role_user mais qui viendrait d'un controler qui questionne la bdd.
Car je crois qu'il ne faut pas faire d'appel de la bdd dans un js...

Vous me direz ce dont vous avez besoin, car les roles ne sont pas très bien définis je crois.

Merci beaucoup d'avance pour votre aide....je galère

[kevin254kl]

Salut,

Utilise des noms anglais plutôt que fr.
Non tu ne peux pas accéder à la bdd avec le js et hereusement le js est modifiable par le client.
Tu utilises twig? Une api?

[grunk]

Il suffit que la valeur de ton rôle soit passée par ton constructeur et que tu l'assigne à une variable dans ton JS

Code HTML :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<script>
const role = '<?php echo $role?>';
 
if(role === 'admin') {
        
}
</script>

En revanche , en procédant de la sorte rien n'empêchera ton utilisateur d'usurper le rôle , car le JS est modifiable.

Si tu as des choses à protéger il ne faut pas le faire coté JS.

[ssimpou]

Merci Kevin et Grunk,

Donc selon vos infos, j'oubli le code en js avec appel à bdd.

J'ai mis en place dans un twig un morceau de code pour bloquer selon le role :

Code twig :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
{% if is_granted("ROLE_ADMIN") == true %}
                <div>
 
                    <input type="checkbox" id="prixVisible"/>Masquer les prix
                </div>
 
                <div class="js-user-admin" data-is-admin="true"/>
            {% else %}
                <div>
 
                    <input type="checkbox" id="prixVisible" checked="checked" style="display:none"/>
                </div>
                <div class="js-user-admin" data-is-admin="false"/>
 
            {% endif %}