Commentaires sur : Gestion des droits d’accès par groupes d’utilisateurs avec ACL

Par : Bustakheops

Bustakheops — Thu, 24 Dec 2009 23:22:57 +0000

Merci pour ces tutoriels Bonne continuation

Par : Nax

Nax — Sun, 02 Aug 2009 22:18:45 +0000

Bonjour, je voudrais savoir ce qu’apporte la gestion par ACL en plus d’une gestion par Auth avec utilisation de isAuthorized() ?

Par : Alexis

Alexis — Sun, 02 Aug 2009 16:24:16 +0000

J’ai bien suivi les 2 tutos (auth + acl) et j’ai un problème. Une fois connecté avec le user « admin », lorsque j’accède à l’url « /admin », je suis renvoyé vers « / ». Pas moyen de savoir pourquoi. Pouvez-vous m’aider ?

Merci par avance

Par : Paul Lebourg

Paul Lebourg — Sun, 17 May 2009 12:50:46 +0000

Une nouvelle question sur l'utilisation du multilingue. J'ai plusieurs langues, comment faire pour traduire les rangs ? Que faut-il mettre dans les champs lors de la création des AROs ? Doit-on utiliser i18n en parallèle ?

Merci d'avance

Par : ed

ed — Mon, 09 Mar 2009 22:38:32 +0000

Dans le cas d'un besoin de gestion d'accès dynamique en fonction du controlleur utilisé et de l'utilisateur connecté... exemple : un auteur peut modifier et supprimer ses propres articles et pas ceux des autres auteurs. On ferait un traitement dans le code pour comparer le userid auteur et le userid connecté ?

Par : avairet

avairet — Tue, 20 Jan 2009 16:50:29 +0000

Oui, mais cet exemple ne vas pas assez loin, il ne prend pas en compte les méthodes « private » et « protected » par exemple.

Par : cakos

cakos — Tue, 20 Jan 2009 15:55:18 +0000

Merci Avairet pour cette confirmation

sur http://book.cakephp.org/view/647/An-Automated-tool-for-creating-ACOs on peut y trouver un exemple pour parser tous les controleur/actions d’une appli (ainsi que les plugin)

Par : avairet

avairet — Tue, 20 Jan 2009 15:49:42 +0000

Toutes les actions nécessitant une authentification doivent bien être dans la table des ACOs, mais les actions dont l’accès est autorisé à tout le monde, les méthodes « protected » et « private », ainsi que toutes les méthodes natives de Cake, telles les callbacks « beforeFilter », « beforeRender », etc. ne doivent pas y figurer.

Pour les actions à accès public, il suffit de les mettre dans le tableau $this->Auth->allowedActions, au niveau du beforeFilter() des contrôleurs concernés.

Quand on a une grosse application, il devient vite fastidieux d’entrer à la main tous les contrôleurs et toutes leurs actions… il faut donc créer une fonction qui va faire cela toute seule !

Et dans cette fonction on pourra faire ce qu’il faut pour que toutes les méthodes « protected » et « private » ne soient pas prises en compte, ni les méthodes natives de Cake. On peut même lui dire d’éviter tel ou tel contrôleur dont on sait que l’accès à toutes les méthodes sera public.

Toutefois, la mise en place de cette méthode dépasse le cadre de ce tutoriel…

Par : cakos

cakos — Tue, 20 Jan 2009 15:15:55 +0000

Salut Vanitom

De ma (très petite) expérience d'ACl, il apparait qu'il faut effectivement définir toutes les pages (contrôleur et action) qu'un utilisateur peut accéder (il faut donc avoir un enregistrement dans la table Aco pour chaque contrôleur, et pour chaque action de ce contrôleur. Par contre je crois que ce n'est pas nécessaire de la faire pour les actions privée (méthode private) d'un contrôleur (car un utilisateur ne pourra de toute façon pas y accéder )

Je précise encore une fois que mon expérience est assez limité...

Par : vanitom

vanitom — Sun, 18 Jan 2009 17:31:02 +0000

Bonjour,

Je crois que je vais poser une question conne et enfoncer une porte entrouverte.

Pour que l'ACL fonctionne il faut déclarer toute les pages (Controleurs/Actions) qu'un utilisateur peut accéder.

C'est bien ça