limiter l'accès à une page web

Version imprimable

Bonjour,

Je souhaiterais que l'accès à une page du site internet soit limité à des utilisateurs possédant un login et un mot de passe (que je peux ajouter ou retirer sur la page administration)

J'ai trouvé cette view et ce fichier html

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
def my_view(request):
    username = request.POST['username']
    password = request.POST['password']
    user = authenticate(username=username, password=password)
    if user is not None:
        if user.is_active:
            login(request, user)
            # Redirection vers une page de succès.
        else:
            # Renvoyer un message d'erreur 'compte inactif'.
    else:
        # Renvoyer un message d'erreur 'login invalide'.
 
 
 
	{% if form.errors %}
		<p class="error">Sorry, that's not a valid username or password</p>
	{% endif %}
 
	<form action='.' method='post'>
		<label for="username">User name:</label>
		<input tupe="text" name="username value="" id="username">
		<label for="password">Password:</label>
		<input type="password" name="password" value="" id="password">
 
		<input type="submit" value="login" />
		<input type="hidden" name="next" value="{{next|escape}}"/>
	</form>

Malheureusement, je ne vois pas comment les utiliser et surtout comment gérer le fichier urls.py.
Aussi comment fonctionne "next"?
Si vous pouviez me donner quelques pistes, ça m'aiderait déjà beaucoup.

Merci beaucoup

12/02/2009, 10h43
DelphiManiac

Il suffit que tu rajoutes un "decorator" à ta view. Ici la doc : http://docs.djangoproject.com/en/dev...ired-decorator

L'ajout d'un décorateur prédéfini type 'login-required' , protège l'accès contre les visiteurs non identifiés.
En général c'est insuffisant. Il faut s'assurer qu'un utilisateur même identifié à accès uniquement aux données qui le concerne. Voici un exemple:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 #pour empecher le hacking def checkuser(request,number): #parametre number = identificateur de user utilisateur=request.user numero=utilisateur.id if(int(number)!=numero): return False else: return True @login_required def update_profil(request,idobj): if checkuser(request,idobj): return create_update.update_object(request,model=Profil,object_id=idobj,post_save_redirect='.') else: return HttpResponseRedirect('/accounts/login')
Si la fonction de test checkuser doit être utilisée dans de nombreuses vues, on a alors tout intérêt à la transformer elle-même en un décorateur.

identification

La vue login_required m'a permis de rediriger la page sur l'url qui demande à l'utilisateur de s'identifier (username et password):

http://127.0.0.1:8000/accounts/login...mu/Chromosome/

Néanmoins, quand j'utilise mon nom et mon mot de passe de super-utilisateur, la page me renvoit "log in ou mot de passe incorrect".
J'ai essayé de créer un nouvel utilisateur avec tous les droits sur l'administration django mais là encore son username et son password sont incorrects.

Ensuite, j'ai essayé de le faire sur le prompt et ça m'a rendu ça:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 >>> from django.contrib.auth.models import User Traceback (most recent call last): File "<stdin>", line 1, in <module> File "C:\Python26\Lib\site-packages\django\contrib\auth\models.py", line 6, in <module> from django.db import models File "C:\Python26\Lib\site-packages\django\db\__init__.py", line 9, in <module> if not settings.DATABASE_ENGINE: File "C:\Python26\Lib\site-packages\django\conf\__init__.py", line 28, in __getattr__ self._import_settings() File "C:\Python26\Lib\site-packages\django\conf\__init__.py", line 57, in _import_settings raise ImportError("Settings cannot be imported, because environment variable %s is undefined." % ENVIRONMENT_VARIABLE) ImportError: Settings cannot be imported, because environment variable DJANGO_SETTINGS_MODULE is undefined. >>>
Bref je vois pas comment faire pour qu'on m'accepte sur mon propre site...

13/02/2009, 12h59
bob-ben

remarques

Quand je suis connecté sur l'admin de django, le decorator que j'ai ajouté "@login_required" ne me redirige pas sur la page qui demande de m'identifier.

Par contre, que je sois ou non connecté sur l'administration du site, quand je suis sur la page qui demande mon nom et mon mot de passe, le résultat est toujours:
Sorry, that's not a valid username or password

Y a-t-il un lien entre les deux identifications (sur l'administration du site et ma vue login)?
Et voyez-vous une solution pour que la page login accepte mes username et password de super-utilisateur?
13/02/2009, 13h08
Zavonen

Citation:

Néanmoins, quand j'utilise mon nom et mon mot de passe de super-utilisateur, la page me renvoit "log in ou mot de passe incorrect".

J'ai déjà rencontré ce pb, sans pouvoir l'expliquer, avec le serveur de développement. Le fait de vider le cache du navigateur, d'interrompre le serveur et de le relancer m'a tiré d'affaire.
13/02/2009, 14h36
bob-ben

j'ai fait ce que tu m'as dit mais ça n'a pas changé le problème, j'ai exactement la même situation.
vider le cache sur mozilla firefox c'est bien outil/effacer mes traces/supprimer cache?
13/02/2009, 14h57
DelphiManiac

Citation:

Envoyé par Zavonen

L'ajout d'un décorateur prédéfini type 'login-required' , protège l'accès contre les visiteurs non identifiés.
En général c'est insuffisant. Il faut s'assurer qu'un utilisateur même identifié à accès uniquement aux données qui le concerne. ...

Pourquoi réinventer la roue ? alors que ça existe aussi : http://docs.djangoproject.com/en/dev...ired-decorator

De plus la demande initiale est :

Citation:

Je souhaiterais que l'accès à une page du site internet soit limité à des utilisateurs possédant un login et un mot de passe (que je peux ajouter ou retirer sur la page administration)

Dans ce contexte le decorator login_required correspond à la demande.
13/02/2009, 15h25
Zavonen

Citation:

Pourquoi réinventer la roue ? alors que ça existe aussi : http://docs.djangoproject.com/en/dev...ired-decorator

Désolé, pas vu....
Tu pourrais être plus précis ?
13/02/2009, 15h29
Zavonen

Citation:

vider le cache sur mozilla firefox c'est bien outil/effacer mes traces/supprimer cache?

C'est bien ça, oui.

Citation:

Quand je suis connecté sur l'admin de django,

Qu'est-ce que tu lis dans la barre d'adresse de firefox ?
l'url de connexion de l'administrateur n'est pas .../accounts/login, mais il doit être reconnu quand même sur cette page.
Sinon tu peux alller ouvrir directement la table auth_user dans ta BD, par contre les mots de passe sont codés. Si tu peux d'une façon ou d'une autre accéder à l'interface admin tu verras aussi le mot de passe codé et tu pourras comparer.
Si tu ne peux pas t'en sortir et si tu n'as pas encore de données dans ta BD tu peux toujours la détruire et refaire une synchro
13/02/2009, 15h43
DelphiManiac
Citation:

Envoyé par Zavonen

Désolé, pas vu....
Tu pourrais être plus précis ?

Django, pour chaque modèle, crée par défaut 3 autorisation : 'can add ...', 'can change ...' et 'can delete ...'.

A chaque utilisateur que l'admin crée, il lui assigne des droits d'utilisation. Si pour un utilisateur donnée et pour un modèle donné, l'utilisateur n'a aps un des droits la console d'admin lui refuse l'accès.

Ex :

J'ai un modèle : Moto
- Django à créer 3 autorisations : 'Can add moto', 'Can edit moto', 'Can delete moto'
Je crée un nouvel utilisateur et ne lui les donne que les droits 'add' et 'change', il ne pourra supprimer aucun des éléments du modèle.

Ceci est le comportement par défaut de la console d'admin.

Il faut savoir qu'en plus des trois droits de bases, on peut définir autant de droits supplémentaires que l'on veut et ceci dans la définition du modèle :
Code:

1 2 3 4 5 6 7 class Meta: permissions = ( ("can_drive", "Can drive"), ("can_vote", "Can vote in elections"), ("can_drink", "Can drink alcohol"), )
A partir de ces nouveau droits, je peut pour chaque vue définir quels sont les droits nécéssaires pour qu'un utilisateur puisse accéder à la vue et ceci par un "decorator".
Code:

1 2 3 4 5 6 from django.contrib.auth.decorators import permission_required def my_view(request): # ... my_view = permission_required('moto.can_drive', login_url='/loginpage/')(my_view)
La limitation de django pour le moment, concernant les autorisations, c'est qu'elles sont applicables à l'ensemble du modèle et qu'il n'y à pas de mécanisme pour définir une permission par instances (ligne du modèle/table).
13/02/2009, 15h51
Zavonen

Tout cela je le sais fort bien.
Mais ces autorisations valent au niveau des tables.
Supposons que les utilisateurs aient accès à la table moto et puissent créer des enregistrements, mais que par la suite tu veuilles que les utilisateurs n'aient accès qu'aux fiches moto qu'ils ont créées et à celles-là seulement. Le jeu standard des permissions de Django ne permet pas de gérer cette situation. Il faut aller chercher sur la fiche la clé étrangère du créateur et la comparer avec l'id de l'user, je ne sais pas faire cela plus simplement, mais si quelqu'un à une solution je suis preneur. "Ne pas réinventer la roue" a toujours été ma devise (c'est un peu pourquoi j'utilise Django).
NB: Au niveau des requêtes tu peux facilement faire un filtre, mais cela ne marche pas non plus, parce que si tu veux 'tricher' (changer directement la barre d'adresse avec un autre identifiant, tu verras les motos des copains).
Au fait, je suis motard (YAM TDM 900).
13/02/2009, 16h25
DelphiManiac

Je ne conteste pas que cela ne fonctionne que pour les tables.

Mais si on commence à répondre aux questions qui ne sont pas posées pas les utilisateurs du forum, ça ne va pas être simple !!

La question initiale étais juste : afficher une page seulement si l'utilisateur à une compte.
20/02/2009, 20h50
bob-ben

ok c'est bon maintenant
j'ai rien fait de spécial et ça marche...
merci quoi qu'il en soit.