Discussion :

[nsoinard]

Supposons qu'on ai un admin generator avec un module "articles". Chaque article est lié à un pays, et on veut restreindre l'accès de chaque utilisateur admin aux pays auxquels il a droit (Chaque utilisateur admin est lié à un ou plusieurs pays via une table de jointure user_pays).

Parmis les autre modules du backend, plusieurs autres modules ont des objets également liés à un pays.

Pour implémenter ce genre de restriction d'accès dans tous les modules, est-on obligé de surcharger chaque méthode executeEdit et chaque méthode executeUpdate pour ajouter une redirection si le pays de l'objet ne fait pas partie des pays autorisés pour cet utilisateur ?

Ou bien y a t'il plus simple, peut-être en créant un credential pour chaque pays que le user a le droit de consulter ? A moins qu'il y a encore plus simple ?

Si quelqu'un a déjà réalisé ce genre de restriction, ou a éventuellement une idée pour l'implémenter de façon simple, j'aimerai avoir vos avis.

[nsoinard]

Ce genre de restriction serait-elle réalisable avec une méthode du controller qui serait appelée automatiquement pour chaque action. Ce qui pourrait donner quelque chose de ce genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
  public function executeEach??(sfWebRequest $request)
  {
    if($this->getRoute()->getObject() && $this->getRoute()->getObject()->getCodePays() != $this->getUser()->Profile->getCodePays()) {
      $this->forward(sfConfig::get('sf_secure_module'), sfConfig::get('sf_secure_action'));
    }
  }

Mais est-ce est-ce faisable de forcer l'appel d'une méthode du controller pour chaque action ? Peut-être en surchargeant le constructeur ?

Si on veut limiter l'accès de plusieurs modules de cette façon, y a t'il moyen de le faire avec un code encore plus factorisé ?

[Michel Rotta]

Tu as plusieurs solution.

Manifestement, les groupes et hasMember() ne sont pas ta solution.

Dans un module admin, tu as aussi une classe Action qui doit ressembler à ça pour une table nommée user et un module nomé user_admin

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
class user_adminActions extends autoUser_adminActions
{
}

Frugal non ?

Rien ne t'empêche de la surchargée avec ton code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
public function executeEdit(sfWebRequest $request)
{
   //mon code de contrôle
   parent::executeEdit($request);
}

Dans tous les objets sfAction tu as une méthode pré execute et une post execute exécuté avant et après l'action. Tu peux parfaitement les surcharger aussi en pensant à l'appel du parent.


Autre solution, symfony utilise une route de type sfDoctrineRouteCollection pour récupérer la liste et l'enregistrement en cours d'édition. Tu peux modifier ton fichier routing.yml et préciser, pour la route de ce module, les méthodes à utiliser dans ton objet du model pour récupérer la liste et/ou l'objet.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
model_methods:
  list:   getMaListe
  object: getMonObjet

A toi de modifier ton modèle pour que la méthode getMaListe retourne une Doctrine_collection des enregistrements pour la liste et la méthode getMonObjet un objet. Tu peux y intégrer les vérifications nécessaires aux autorisations de l'utilisateur et, le cas échéant, envoyer sur un forward404()...

C'est la méthode que j'utiliserais.

[nsoinard]

Ok, merci Mimi de ta réponse, une fois de plus

Je pense que la solution du routing.yml est le plus approprié pour ce que je veux faire. Je vais m'orienter vers cette solution.