Discussion :

[calagan99]

Bonjour à tous,

pour faire plaisir à Zoofy, je vais reparler de MEMBERSHIP
Mon site dispose d'un lien vers un intranet protégé par MEMBERSHIP et ROLEPROVIDER, le tout chapeauté par ASPNETDB.

Tout fonctionne SAUF que si un utilisateur non loggué tente d'accéder à un répertoire protégé il est redirigé vers la page de Login.
Rien d'étrange à cela sauf que je veux le rediriger vers une autre page.
J'ai essayé les CUSTOM ERRORS dans le WEB.CONFIG (400 à 408) mais jamais une erreur n'est catchée.

Avez vous une idée de l'erreur qui est levée quand un utlisateur tente d'acceder à un page necessitant une authentification ? Comment puis-je récupérer cette erreur et la traiter au niveeau de l'application pour rediriger vers la page de mon choix ?

D'avance merci

[zooffy]

Bon, on va dire que ça me fait un peu plaisir parce que : "DEUX FF A ZOOFFY", gna !

Plus sérieusement, je pense que tu va t'enquiquiner la vie à catcher un erreur.

Le MemberShip te propose des pages de rédirection automatique à configurer dans le web.config.

Pourquoi ne t'en sers tu pas ?

Ou alors tu as d'autres contraintes ?

[calagan99]

Désolé pour ton pseudo, il s'agit d'une faute de non-frappe

Le MEMBERSHIP prévoit effectivement ce cas mais de façon restrictive, en gros ça donne:
"t'es pas loggué ? Tu vas sur la page de Login et basta."
J'ai tenté les custom errors, mais rien n'est catché, j'ai voulu cheater en utilisant indiquant une page d'erreur dans le FORMS AUTHENTICATION du WEB.CONFIG afin d'obliger l'utilisateur a passe de lui-même par la page de login, mais cela n'est pas concluant car les contrôles LoginView et LoginStatus n'apprécient pas.

Je ne vois donc que ça: catcher l'erreur levée par le framework et la traiter au niveau de l'application.

Une idée sur la façon de procéder? Une autre solution envisageable? Je prends tout.

Bon weekend

[mafyoso]

Bonjour,

As tu jeté un coup d'oeil à 'AuthenticationException' , j'ai trouvé ça sur la msdn.

A bientôt

[calagan99]

Mafyoso, comme d'habitude tu voles à mon secours
Je jette un coup d'oeil et je vous tiens au courant.
Merci pour ta réponse.

EDIT: malheureusement, cette classe ne me sera pas d'un grand secours puisqu'elle ne sert qu'à récupérer les informations sur les exceptions d'identification.
Je ne vois pas bien comment je pourrais l'utiliser dans mon cas, mais peut-être en ai-je une vue trop restreinte.

EDIT2: De plus, même si elle me permettait de tester les eventuelles excpetions levées, où devrais-je implémenter cette fonction puisqu'elle devrait agir au niveau de l'application et pas uniquement sur la page de Login ?

[zooffy]

Bon, j'ai relu encore une fois ton énnoncé. Si j'ai bien compris tu veux renvoyer les gens qui tente d'accéder à des répertoires sur lesquels ils ne sont pas autorisés et tu veux les renvoyer sur une page précise.

Dans ton web.config tu dois avoir ce truc là :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
<authentication mode="Forms">
	<forms loginUrl="~/Login/login.aspx"></forms>
</authentication>

Cela veut dire que la redirection automatique vers la page de login se dirige vers cette page.
Mais j'aurais pu l'appeller toto.aspx et la mettre dans un répertoire tata, ça n'aurait rien changé.

En plus de quoi, sur cette page, je mets ce que je veux, pas forcément une mire de connection.

Enfin, j'utilise une autre technique pour gérer les connection. Dans mon cas (enfin sur un des sites) l'important n'est aps d'avoir ou pas des droit dans un répertoire, mais simplement de savoir si tu es identifier ou pas et j'utilise ce bout de code pour gérer le truc :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
Dim ohttpcontext As HttpContext = HttpContext.Current
	If ohttpcontext.Profile.UserName = "" Then
		ohttpcontext.Response.Redirect("~/Login/login.aspx?mess=" & Message & "&page=" & PageRetour)
	End If

La propriété Username de Profile est vide tant que t'es pas connecté par le formulaire d'identification.
Aprés, tu peux gérer ce que tu veux. Par le Profile tu peux obtenir les appartenance aux groupes, différents droits et patati et patata. Donc, tu gère toutes les redirections que tu veux avec des tests, des boucles. tu peux même t'amuser à faire un arbre de décision.

Est ce que ça te permet d'avancer ?

[calagan99]

Zooffy, merci pour ta réponse.

Mais cela ne convient pas.
En effet, mon utilisateur a accés à toute une partie publique du site. Pas besoin pour celle là de s'identifier.
Cependant, il peut parvenir à cliquer sur un lien qui pointe vers un répertoire protégé.
Comme tu me le demandes, dans ce cas, le web.config du répertoire protégé contient:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<authentication mode="Forms">
     <forms name="LoginPage" loginUrl="~/Login.aspx"/>
</authentication>

L'utilisateur est donc systématiquement rédirigé vers cette page.
Or, mon but est de:
- ou bien le rediriger vers une page dans laquelle je puisse lui expliquer qu'il doit s'identifier, que pour cela il doit créer un compte et quelles fonctionnalités supplémentaires lui seront proposées s'il le fait
C'est la solution que je préfère
- ou je me contente de catcher l'erreur et d'afficher un message sur la page de Login en lui disant qu'il doit être identifié pour accéder à la ressource demandée et en lui mettant un lien qui pointe vers la page d'explication.

Je ne peux donc pas agir sur les page du répertoire protégé, mais seulement au niveau de l'application.

[zooffy]

Je crois que je capte pas ton besoins.

A partir du moment où tu actives la protection d'un répertoire, c'est valable pour tout le monde et toute l'application.

Dans ta page Login.aspx, pourquoi ne peux tu pas mettre tout ce que tu dis et faire un lien vers une page de connexion ?

Peux tu me détailler pourquoi tu tiens absolument à gérer au niveau des pages et pas de l'application.

A proprement parler, le fait d'aller sur une page où tu n'es pas autorisé n'est pas une erreure au sens .NET du terme. Donc tu ne peux pas catcher une erreur.

Par contre, tu peux travailler sur une fonction incluse dans toute tes pages et gérer ta sécurité avec ça. Comme ça tu pourras avoir des méthode de sécurité en fonction de tes pages.

Est ce qu ça te permets d'avancer ?

[calagan99]

Je crois que je capte pas ton besoins.
A partir du moment où tu actives la protection d'un répertoire, c'est valable pour tout le monde et toute l'application.

Mon besoin: un utilisateur, qu'il soit identifié ou non, s'il tente d'accéder à un répertoire pour lequel son profil ne donne aucun droit d'accés, ne doit pas être redirigé vers Login.aspx comme c'est le cas pour le moment (cela venant du parametrage du web.Config), mais vers une page d'erreur (d'information plus exactement).
La page de Login (Login.aspx) ne sert qu'à s'enregistrer, elle ne doit pas être la page vers laquelle toute tentative d'accés qui a échoué aboutit.
J'espère que c'est plus clair, déjà que ca ne l'est pas forcément complétement pour moi, délicat de l'expliquer...

Peux tu me détailler pourquoi tu tiens absolument à gérer au niveau des pages et pas de l'application.

Non, c'est justement le contraire, je veux gérer au niveu de l'application

A proprement parler, le fait d'aller sur une page où tu n'es pas autorisé n'est pas une erreure au sens .NET du terme. Donc tu ne peux pas catcher une erreur.

Dans la mesure où des régles d'accés ont étaient paramètrées, si celles-ci ne sont pas respectées, une erreur est forcément levée, non ? S'il ne s'agit pas d'une erreur du framework, il doit au moins y avoir une erreur http qui correspond, non ?

Par contre, tu peux travailler sur une fonction incluse dans toute tes pages et gérer ta sécurité avec ça. Comme ça tu pourras avoir des méthode de sécurité en fonction de tes pages.

C'est une solution mais dans ce cas je vais essayer de suivre les conseils de Neptune et d'insérer ça dans mon BasePage histoire de ne pas le répéter dans chaque page.

Est ce qu ça te permets d'avancer ?

-Techniquement, non, ou peu. Je reste persuadé qu'il est possible d'intercepter une erreur ou une exception et je pense que Mafyoso était sur la bonne piste, il faut que je creuse.
- Conceptuellement, oui. Ce que je souhaite faire est clairement arrêté et je sais comment je veux procéder.

[zooffy]

Bon, je comprends mieux. Mais je reste un peu sur mon idée de départ.
Quoi qu'il arrive ton utilisateur qui enfrain une règle ne lève pas une erreur, ni FWK, ni HTTP. Il lève un exception, ça se gère pas tout à fait apreil qu'une erreur.

Sinon, pour revenir à mon idée de départ, qu'est ce qui t'empêche de mettre ton message d'information sur la page toto.aspx et de référencer celle-ci dans le web.config à la place de la page login.aspx ?
Comme ça, tout celui qui enfrain la règle d'accés va sur cette page. Ensuite, c'est toi qui gère le contenu là dedans et tu peux faire ce que tu veux.
Ton système devient gérer au niveau de tout ton site d'un coup.

Qu'en pense tu ?

[gderenne]

Salut,

En fait, si l'utilisateur est logué et qu'il n'a pas les droits necessaires pour acceder à telle partie du site, il doit etre redirigé vers une page d'information sur les droits necessaires.
Si l'utilisateur n'est tout simplement pas logué, il faut l'envoyer vers une page de login (telle celle du web.config).

Le ROLEPROVIDER ne permet-il pas de gerer ca directement ?

[calagan99]

Merci pour vos réponses.

Zooffy, je comprends ce que tu me proposes, mais je ne vois pas comment cela pourrait fonctionner.
Je mets ici une sorte de hierarchie de mon site, pourrais tu rapidement me décrire ce que tu met dans le web.config de chaque répertoire ?




@gederenne: tu as raison, le ROLEPROVIDER gere bien cela. Et c'est ce que je fais d'ores et déjà, mais il ne permet, a priori, que de renvoyer vers la page d'authentification.

[zooffy]

Et bien en fait, j'évite de mettre des web.config dans chaque répertoire pour justement centraliser la configuration.

Mais, de toute façon, tant que tu en répète pas l'ensemvle du web.config, tu epux en mettre partout sans souci.
Si tu place ça

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
<authentication mode="Forms">
	<forms loginUrl="~/Login/login.aspx"></forms>
</authentication>

uniquement dans le web.config global et que tu ne reprend pas la balise dans les web.config subsidiaire, tu n'as aucun souci, c'est ta page qui est prise en compte pour tout le monde.

Les web.config, ça marche un peu comme les global.asa de la version 3.0 d'ASP. Sauf que là, tu as une hiérarchie de plus haut niveau.
Sur ton serveur tu as un machine.config qui va régir des configurations pour toute la machine, peu importe le type d'application. Ensuite tu as un web.config planqué dans un répertoire du FraameWork qui va régir tous les sites sur le serveur. Puis tu as un web.config en racine du site qui va régir la configuration du site. Et enfin un web.config par répertoire qui va régir les éléments du répertoire.

Tout ceci fonctionnant avec du XML, ça marche par imbrication et "surclassement". Par exemple (attention exemple capilotracté) sur le web.config du serveur tu déclare un configuration pour mettre toutes tes pages en bleu, alors toutes les pages de tous les sites de ton serveur vont être bleues. Ensuite, pour un site donné tu déclares avec la même balise, que les pages seront vertes, alors les pages de ce site et uniquement celui là seront verte. Puis, dans ce site tu rajoute pour un répertoire donné la configuration pour q'elles soient rouges, et hop, les pages de ce répertoire là sont rouges. cela veut dire que tant que tu ne remet pas la balise "couleur de page" dans un web.config, il va chercher sa valeur au dessus.

Est ce que c'est plus clair comme ça ?

Conclusion : le web.config, c'est bien , mais faut pas en abuser. Normalement un seul en racine du site doit suffir.

J'édite mon post pour te donner le lien de FAQ sur le sujet, Ditch explique ça trés bien : http://dotnet.developpez.com/faq/asp...page=webconfig

[calagan99]

Nous sommes d'accord.
La seule utilité de ces fichiers de configuration multiples, dans mon cas, consiste à définir les régles d'accés.
Toute la configuration (connectionstring, authentication, customerrors, appsettings, profile,etc.) est dans le web.config global.
MAIS, comme vous le savez, la protection des pages par le framework est en fait une protection des répertoires et pas des pages en elles-mêmes. J'ai donc dû organiser mes pages en de nombreux répertoires pour définir mes régles d'accés.
Or, l'assistant asp.net de création de ces régles génére un web.config par répertoire, on n'a pas d'autre choix.

[zooffy]

bien sûr qu'il fait ça, mais dans les web.config il ne mets que ce genre de chose

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
<?xml version="1.0" encoding="utf-8"?>
<configuration xmlns="http://schemas.microsoft.com/.NetConfiguration/v2.0">
    <system.web>
        <authorization>
            <deny users="?" />
        </authorization>
    </system.web>
</configuration>

Donc, ta page de redirection est uniquement gérée dans le web.config de racine du site. Donc tu peux renvoyer tout utilisateur non autorisé vers elle et gérer à partir de là ce que tu veux lui montrer.

Est ce que ça règle ton souci ?

[calagan99]

Je ne vois pas où tu veux en venir.
Je crois qu'à force de retourner le problème dans tous les sens je m'y perd complétement.

Donc, ta page de redirection est uniquement gérée dans le web.config de racine du site. Donc tu peux renvoyer tout utilisateur non autorisé vers elle et gérer à partir de là ce que tu veux lui montrer.

Oui, c'est bien ça.
Mais mon soucis n'est pas réglé pour autant.
En effet, je ne peux rediriger QUE vers la page de Login.
Je me demande si je suis complétement à l'Ouest car ca a l'air de te paraitre evident.

[zooffy]

Non, tu n'es pas à l'Ouest, c'est moi, vu que je suis à St Nazaire ! !

Bon, revenons à nos moutons.
Arrêtes moi si je me trompe : tu veux renvoyer les utilisateurs non authentifiés et les utilisateurs non autorisés vers une page d'information (toujours la même) pour leur expliquer qu'ils n'ont, soit :
- pas les droits pour accéder à la apge qu'ils veulent
- être authentifié parce que c'est mieux de créer un compte.

Donc, pour faire ça tu active la sécurité par répertoire, tu fabrique une apge qui dit tout ça (et qui comporte éventuellement un lien vers une page de login et de création de compte). Ensuite tu mets l'adresse de cette page dans ton web.config en tant que LoginUrl.

Ce point de configuration du web.config du site (celui en racine) n'implique pas obligatoirement que la page concernée soit bien celle de login. Il peut y avoir n'importe quoi dans cette page, c'est toi qui décide.

Ai je bien résumé ta problématique ?

[calagan99]

Saint Nazaire ? j'ai passé 8 à Nantes, et je suis Normand, donc je suis bien à l'Ouest. Malheureusement, exilé pour le boulot.

Le résumé est parfait.

J'ajouterais juste: tout en conservant les contrôles de connexion de type LoginView, LoginStatus, etc.
Et je pense d'ailleurs que c'est cela qui m'induit en erreur.En effet, pour prendre l'exemple du LoginStatus, il n'a pas de propriété où lui indiquer vers quelle page pointer. Si je modifie dans le web.config, il redirigera donc vers la page d'information et plus la page de Login.
Cependant, dans la mesure ou ce controle est dans un master page, je pense qu'une petite fonction qui fais le même boulot ne doit pas être bien compliquée à écrire.

[zooffy]

Normand moi aussi, mais un vrai, de Cherbourg bien sûr....

Bon, donc tu as tout capté pour renvoyer tes utilisateurs.

Pour le Login, ben oui, tu as raison. Mais bon, aprés tout, tes utilisateurs seront informé de ce que tu as à leur dire à chaque fois.....

Plus sérieusement, j'ai pas trouvé par manque de temps, mais je suis sur qu'on peu piloter l'URL dans le LoginStatus.
Dans la classe FormAuthentication il y a pas mal de chose. Je pense que ça se passe là dedans.

Kenavo

[calagan99]

Normand moi aussi, mais un vrai, de Cherbourg bien sûr....

J'ai passé deux ans au lycée Millet à Octeville, je suis cherbourgeois d'adoption et du Sud Manche à l'origine

Je n'ai plus qu'à remplacer mon LoginStatus par un HyperLink et à écrire une fonction qui permettra de faire sensiblement la même chose.

Par contre, je doute vraiment que l'on puisse agir sur la LoginURL de la classe FormsAuthentication car la propriété existe mais est readonly.

Il va donc falloir que je récupère chaque utilisateur présent, que je teste s'il est connécté et qu'en fonction je fasse mon affichage et que je crée mes liens.