[Symfony] zabronić dostęp do metody Opcje

[AxZx]

witam

w temacie Temat: Symfony_szablony_widoki opisałem jak można zapisać widok do bazy.
powstaje pytanie jak zabronić uruchomienia jakiejś akcji z przeglądarki?

żeby można było z tej metody korzystać w $this->getController()->getPresentationFor() ale żeby ktoś nie mógł sobie wpisać w pasku URL przeglądarki tej akcji i nie zobaczył rezultatu. to samo jest z metoda sendemail - tam też podaje się jakś konkretną akcję konkretnego modułu, jako akcja która wysyła maila.

[phpion]

Możesz ustawić jej widoczność na protected/private lub wywalić przedrostek execute. Wtedy daną metodę wywołasz "ręcznie" z danego kontrolera.

[destroyerr]

Za pomocą sfActionStack sprawdzasz czy akcja została wywołana przez inną akcje, tą którą Ty chcesz. Jesli nie to forward404, a jesli tak to spokojnie leci dalej.

[Cysiaczek]

Ewentualnie ustaw credentiala w locie

[AxZx]

Możesz ustawić jej widoczność na protected/private lub wywalić przedrostek execute. Wtedy daną metodę wywołasz "ręcznie" z danego kontrolera.

mogę ustawić i user nie będzie miał dostępu bezpośrednio z przeglądarki do akcji ale ta wtedy getPresentationFor też nie będzie miała dostępu.

Za pomocą sfActionStack sprawdzasz czy akcja została wywołana przez inną akcje, tą którą Ty chcesz. Jesli nie to forward404, a jesli tak to spokojnie leci dalej.

a mógłbyś napisać coś więcej? jak tego używać?

przyszedł mi do głowy jeszcze jeden sposób.
można wykonać coś takiego:

[PHP] pobierz, plaintext 
<?php
$this->getRequest()->setAttribute('kontrola', 'xyz');
$tresc = $this->getController()->getPresentationFor('kontakty', 'sendZapros', 'sfView');
?>
[PHP] pobierz, plaintext 

i w tej metodzie executeSendZapros sprawdzac

[PHP] pobierz, plaintext 
<?php
if($this->kontrola):
?>
[PHP] pobierz, plaintext 

[Cysiaczek]

No to chyba jednak prościej credentiala ustawić

[destroyerr]

Z credentialem to raczej bezsensowne bo nie do tego to służy.

Mniej więcej tak:

[PHP] pobierz, plaintext 
<?php
$lastEntry = $this->getController()->getActionStack()->getLastEntry();
if($lastEntry->getModuleName() != $this->getModuleName() && $lastEntry->getActionName() != $this->getActionName())
{
    $this->forward404();
}
?>
[PHP] pobierz, plaintext 

Ten post edytował destroyerr 25.11.2008, 20:37:08

[AxZx]

coś nie tak.
bo $lastEntry->getActionName() ma taka samą wartość - wtedy kiedy wywołam ręcznie tą akcję jak i wtedy kiedy jest pobierany widok tej akcji przez metodę getPresentationFor.
chyba, że coś źle zrobiłem.

takie coś

[PHP] pobierz, plaintext 
<?php
public function executeZapros()
    {
        
        if($this->getRequest()->getMethod() == sfRequest::POST)
        {
            
            $this->getRequest()->setAttribute('zaproszenie', $zaproszenie);
            
            $tresc = $this->getController()->getPresentationFor('kontakty', 'sendZapros', 'sfView');
            $temat = 'Zaproszenie do kontaktów';
                    
            return $this->my_redirect($this->powodzenie('Zaproszenie do kontaktów zostało wysłane'));
        }
    }
    
    public function executeSendZapros()
    {
        
        $this->zaproszenie = $this->getRequest()->getAttribute('zaproszenie');
 
        $this->forward404Unless($this->zaproszenie);
                
        $this->setLayout(false);
 
    }
?>
[PHP] pobierz, plaintext 

działa fajnie, ale trzeba o tym atrybucie pamiętać i za każdym razem go ustawiać.

[Cysiaczek]

Nie chcę robić flejma, ale pozostanę przy zdaniu, że jednak właśnie do tego służy. Ten email to akcja i nadanie tymczasowego uprawniania do jej wykonania wydaje mi się całkiem sensowne. Po wykonaniu, credentiala usuwamy z listy.
Pozdrawiam.

[AxZx]

Nie chcę robić flejma, ale pozostanę przy zdaniu, że jednak właśnie do tego służy. Ten email to akcja i nadanie tymczasowego uprawniania do jej wykonania wydaje mi się całkiem sensowne. Po wykonaniu, credentiala usuwamy z listy.
Pozdrawiam.

w ostateczności mogłoby tak być. ale ja nie chce żeby user wiedział, że jest taka akcja. żeby nie zobaczył komunikat o braku dostępu, czy formularza logowania, ale żeby zobaczył 404.

EDIT:
chyba się pomyliłem:)
bo Credentials jak ustawie w akcji to ja ustalam jaki ma być komunikat. okej:)
przepraszam za zamieszanie.

Ten post edytował AxZx 25.11.2008, 21:20:04

[Cysiaczek]

Heh, no właśnie o to mi chodziło - addCredential() -> hasCredential() -> removeCredential(), zamiast sztucznej zmiennej:)

[destroyerr]

Ten kod, który podałem powyżej to z rozpędu, dlatego nie działa.

Ten kod nie pozwala na dostanie się do akcji przez podany adres.

[PHP] pobierz, plaintext 
<?php
$actionStack = $this->getController()->getActionStack();
$index = $actionStack->getSize() - 2;
$entry = $actionStack->getEntry($index);
 
if((!$entry) || ($entry->getModuleName() == $this->getModuleName()) && ($entry->getActionName() == $this->getActionName()))
{
  $this->forward404();
}
?>
[PHP] pobierz, plaintext 

A ten kod pozwoli na wywołanie akcji tylko z akcji, którą podasz.

[PHP] pobierz, plaintext 
<?php
$actionStack = $this->getController()->getActionStack();
$index = $actionStack->getSize() - 2;
$entry = $actionStack->getEntry($index);
 
if(($entry) && ($entry->getModuleName() != 'test' || $entry->getActionName() != 'A'))
{
  $this->forward404();
}
?>
[PHP] pobierz, plaintext 

Jest jeszcze inna prosta metoda, poprzez routing. Dodać taką regułe, aby łapała adres do akcji chronionej i uruchamiała tą właściwą.