[Zend_Auth] Durée de conservation de l'authentification

Version imprimable

Bonjour,
Je voudrais gérer le temps de validité de l'authentification,
par exemple au bout de 30 minutes d'inactivité, l'utilisateur doit se reconnecter.

Pour ce faire j'ai créer une nouvelle classe de stockage pratiquement identique à la classe de base (Zend/Auth/Storage/Session.php). J'ai juste ajouté cette fonction qui fixe la durée d'expiration en seconde :
Code:

1 2 3 4 public function setDurationSeconds($sec) { $this->_session->setExpirationSeconds($sec); }
Je pensait obtenir ce que je souhaitait mais en fait mes sessions se ferme au bout de 30 minutes même si l'utilisateur est actif.

Pour réinitialiser le temps j'utilise ce bout de code dans mes contrôleurs :
Code:

1 2 3 4 5 $auth = Zend_Auth::getInstance(); require_once 'Zend/Auth/Storage/TimedSession.php'; $storage = new Zend_Auth_Storage_TimedSession(); $storage->setDurationSeconds(30); $auth->setStorage($storage);
Je trouve cette méthode un peu "lourde", Qu'en pensez vous ?

Merci.

Bonjour,

ce n'est pas une solution que j'ai testée, mais voici comment je procèderais :

Faire de Zend_Auth_Storage_TimedSession une classe fille de Zend_Auth_Storage_Session
Créer un champ $_duration dans la classe Zend_Auth_Storage_TimedSession initialisé par la méthode setDurationSeconds()
Surcharger la méthode Zend_Auth_Storage::read() (puisqu'elle est appelée par Zend_Auth::getIdentity(), c'est là qu'il faut relancer le compteur de durée de la session)

Ca devrait donner un truc du genre :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 class Zend_Auth_Storage_TimedSession extends Zend_Auth_Storage_Session { protected $_duration; public function setDurationSeconds($sec) { $this->_duration = $sec; $this->_session->setExpirationSeconds($this->_duration); } public function read() { if (isset($this->_duration)) { $this->_session->setExpirationSeconds($this->_duration); } return parent::read(); } }
Ainsi, il n'y a plus qu'à initialiser la durée dans le bootstrap, et ce sera transparent pour les contrôleurs.

Bonjour,
d'abord merci pour tes conseil, j'ai ajouter la classe fille et voici ce que j'ai mi dans mon bootstrap :
Code:

1 2 3 4 require_once('Zend/Auth/Storage/TimedSession.php'); $storage = new Zend_Auth_Storage_TimedSession(); $storage->setDurationSeconds(10); Zend_Registry::set('storageTest', $storage);
Dans mon contrôleur d'authentification j'ai :
Code:

1 2 3 4 5 6 public function loginAction() { $storage = Zend_Registry::get('storageTest'); $auth = Zend_Auth::getInstance(); $auth->setStorage($storage); ... }
Dans mes autres contrôleurs j'ai juste dans le preDispatch :
Code:

1 2 3 4 5 $auth = Zend_Auth::getInstance(); if(!$auth->hasIdentity()) { $this->_redirect('auth/login'); }
J'obtient bien ce que je veux alors que je ne fait pas appel a getIdentity() ?

Par contre si j'enlève le code du bootstrap et que je le met dans loginAction :
Code:

1 2 3 4 5 6 7 8 public function loginAction() { require_once 'Zend/Auth/Storage/TimedSession.php'; $storage = new Zend_Auth_Storage_TimedSession(); $storage->setDurationSeconds(10); $storage = Zend_Registry::get('storageTest'); $auth = Zend_Auth::getInstance(); $auth->setStorage($storage); }
Je n'ai plus le même comportement, mes sessions ce ferme même si j'utilise l'applis ?

De plus si je fais un print_r($auth) dans loginAction j'ai bien un objet Zend_Auth_Storage_TimedSession, si je le fait dans un autre contrôleur j'ao Zend_Auth_Storage_Session.

Je suis un peu perdu là...?

Bon, on va essayer d'y voir un peu plus clair... ;)

Tu dois procéder à l'initialisation complète (y compris le stockage dans la session) de l'objet d'authentification dans ton bootstrap, et stocker cet objet dans le registre pour pouvoir y accéder à partir de tes contrôleurs :
Code:

1 2 3 4 5 6 require_once('Zend/Auth/Storage/TimedSession.php'); $storage = new Zend_Auth_Storage_TimedSession(); $storage->setDurationSeconds(10); $auth = Zend_Auth::getInstance(); $auth->setStorage($storage); Zend_Registry::set('auth', $auth);
Dans le preDispatch() de tes contrôleurs :
Code:

1 2 3 4 5 $auth = Zend_Registry::get('auth'); if(!$auth->hasIdentity()) { $this->_redirect('auth/login'); }
Dans ton contrôleur d'authentification :
Code:

1 2 3 public function loginAction() { $auth = Zend_Registry::get('auth'); ...
D'après ton code, c'est en fait Zend_Auth::hasIdentity() qui est censé remettre à zéro le timer de la session ; hasIdentity() appelant Zend_Auth_Storage_TimedSession::isEmpty(), cette méthode doit donc aussi relancer le décompte :
Code:

1 2 3 4 5 6 7 public function isEmpty() { if (isset($this->_duration)) { $this->_session->setExpirationSeconds($this->_duration); } return parent::isEmpty(); }

23/04/2008, 15h06
FredPont

Ok ça marche, Merci !

Bonjour,

J'ai eu moi aussi besoin de cette fonctionnalité de session d'authentification temporaire, et j'ai donc étudié de près ce sujet.

Ci-dessous ma démarche, pouvez-vous me dire si je ne me suis pas planté dans mes conclusions ? Merci d'avance ! :D
Si on met ce code dans le bootstrap :
Code:

1 2 3 4 5 require_once('Zend/Auth/Storage/TimedSession.php'); $storage = new Zend_Auth_Storage_TimedSession(); $storage->setDurationSeconds(10); $auth = Zend_Auth::getInstance(); $auth->setStorage($storage);
A chaque consultation d'une page, on définis la durée de conservation de la session, et par là même on la réinitialise. Est-il alors vraiment utile de surcharger la fonction isEmpty de Zend_Auth_Storage_Session ?
En allant plus loin, je me suis demandé si la surcharge de la classe Zend_Auth_Storage_Session était nécessaire. En récupérant le namespace d'authentification et en mettant à jour son délai d'expiration, on devrait arriver au même résultat...

Voici le code du bootstrap auquel je suis arrivé :
Code:

1 2 3 4 5 $storage = new Zend_Auth_Storage_Session(); $sessionNamespace = new Zend_Session_Namespace($storage->getNamespace()); $sessionNamespace->setExpirationSeconds(10); $auth = Zend_Auth::getInstance(); $auth->setStorage($storage);
Qu'en pensez-vous ? Voyez-vous un inconvénient à cette méthode par rapport à la surcharge de Zend_Auth_Storage_Session ?
Merci !

13/05/2008, 18h25
GrandFather

Citation:

Envoyé par Eusebe

A chaque consultation d'une page, on définis la durée de conservation de la session, et par là même on la réinitialise. Est-il alors vraiment utile de surcharger la fonction isEmpty de Zend_Auth_Storage_Session ?

Bien vu ! ;)

Citation:

Envoyé par Eusebe

Qu'en pensez-vous ? Voyez-vous un inconvénient à cette méthode par rapport à la surcharge de Zend_Auth_Storage_Session ?

A priori non, ça paraît effectivement être une meilleure alternative. Tu l'as testée ?
13/05/2008, 18h38
Eusebe

Citation:

Envoyé par GrandFather

A priori non, ça paraît effectivement être une meilleure alternative. Tu l'as testée ?

Oui, je l'ai testée, et ça a l'air de fonctionner. ;)
16/06/2008, 10h20
whitespirit

Merci pour ces informations, ça marche vraiment...
09/06/2009, 17h16
tamildark

Bonjour,
merci pour votre solution,
Je suis bien déconnecté au bout de x secondes.

Mais je veux également mettre en place un message d'erreur a la déconnexion exemple : Vous avez été déconnecter de notre site a cause de votre temps d'inactivité.

J'aimerai savoir si cela est possible merci.
10/06/2009, 19h43
vg33

Perso, j'ai créé un plugin qui s'occupe de toutes ces questions de sécurité : vérification de l'authentification, des acl, du timeout, de l'utilisation de l'https... le tout en pre-dispatch.
Du coup, dans de risque de l'oublier dans un controller ou une action, et on reste DRY.
12/06/2009, 14h02
tamildark

J'utilise également un plug in pour auth et acl.
Mais mon problème lors de ma déconnexion automatique quand zend_auth supprime la session. Je veux rajouter un message d'erreur sur flash_messenger.
12/06/2009, 16h56
vg33

En cas de timeout, mon plugin fait juste une redirection vers mon action 'timeout'. Celle-ci envoie les données à la vue puis détruit la session (=> déconnecte).
09/11/2009, 15h58
samaxnet

Merci, ca marche.