Discussion :

[Ushuango]

Bonjour,

sur symfony 5 , je sais restreindre des permissions avec isGranted, dans les Routes(/annotations)
Du coup je peux décider qu'un commercial ou un administrateur du site peut modifier un champ dans un profil qu'il consulte.
Les utilisateurs ne peuvent que consulter un profil.
Mais j'aimerais que l'utilsateur puisse modifier son propre profil et uniquement le sien, donc luis aussi a la permission,
mais comment fait-on dans les routes, ce n'est pas isGranted, mais quelque chose avec l'id.

Ou bien est-on obligé de le faire directement dans la fonction, et du coup un if (isGranted('ROLE_ADMIN') and ...

En espérant que je me fais bien comprendre !

[-Nikopol-]

Tu peux le faire avec les access control dans ton security.yml

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# config/packages/security.yaml
security:
    # ...
 
    firewalls:
        # ...
        main:
            # ...
 
    access_control:
        # require ROLE_ADMIN for /admin*
        - { path: '^/admin', roles: ROLE_ADMIN }
 
        # or require ROLE_ADMIN or IS_AUTHENTICATED_FULLY for /admin*
        - { path: '^/admin', roles: [IS_AUTHENTICATED_FULLY, ROLE_ADMIN] }
 
        # the 'path' value can be any valid regular expression
        # (this one will match URLs like /api/post/7298 and /api/comment/528491)
        - { path: ^/api/(post|comment)/\d+$, roles: ROLE_USER }

https://symfony.com/doc/current/security.html

[Ushuango]

Pour être sûr de bien comprendre:

sur mon application, un administrateur peut créer un profil ( supprimer etc...), le commercial aussi.
les rôles sont renseignés par ces personnes !
comme rôles , il y commercial, administrateur et collaborateur
Un collaborateur peut modifier le profil qu'on a créé pour lui... mais ne peut pas aller sur la fiche d'autres collaborateurs !

Comme je débute , je ne comprends pas très bien le 'IS_AUTHENTICATED_FULLY' .
Une fois le collaborateur connecté ( ou un admin, ou un commercial ) il sera 'IS_AUTHENTICATED_FULLY' et après ?

Je peux avec ça empêcher un collaborateur de bidouiller la barre de recherche du navigateur et ne pas lui donner accès à autre chose que son profil ?

[-Nikopol-]

oui en utilisant la hiérarchisation des rôles que tu as sur la même page de la doc