[Warszawa-pm] [Catalyst] obsługa aktywacji użytkownika

p p pp w pietrek.priv.pl
Pon, 3 Sty 2011, 02:52:11 PST


>
> 2. Problem tak naprawdę leży w tym, że authenticate nie tylko
> autentykuje ale też loguje do systemu.  Jeśli ktoś poda prawidłowe
> hasło dla nieaktywnego użytkownika to można się zgodzić, że jest
> zautentykowany, ale $c->user nie powinno być ustawione.
>
>
>
zgadzam sie

w Catalyst::Plugin::Authentication jest


The next logical step is authorization, the process of deciding what a
user is (or isn't) allowed to do. For example, say your users are split
into two main groups - regular users and administrators. You want to
verify that the currently logged in user is indeed an administrator
before performing the actions in an administrative part of your
application. These decisions may be made within your application code
using just the information available after authentication, or it may be
facilitated by a number of plugins.



czyli po authentication trzeba jeszcze np sprawdzic czy konto nie wygaslo
(jesli aplikacja ma taka strukture),
czy np nie jest aktywna sesja z innego adresu IP (jesli jest wyamganie
jednej sesji).

i jak cos jest nie tak zrobic $c->logout

zreszta moze byc wymog aby takie sprawdzania (waznosci konta) robic
przy kazdym requescie - a sprawdzanie hasla tylko przy logowaniu.


taka logika moze sie zmieniac w zaleznosci od innych danych aplikacji


authentication (sprawdznie user-paswsword) jest na tyle uniwersalne, ze
mozna napisac ogolny modul

dodatkowe warunki (authorization) okresla biznes i to juz jest wolna
amerykanka

authenticatuion to tylko sprawdzenie tozsamosci - nic wiecej - nie
nalezy tam pchac nic wiecej.

oczywiscie bezpieczniej byloby zrobic

$user=$c->authenticate(...)
if($user and $user->isactive ...){

       $c->login($user)
}else{
       $c->stash->{msg}='konto nieaktywne...'
}


niz jak jest teraz w catalyscie

$c->authenticate
unless($c->user and $c->user->isactive...){

       $c->logout
       $c->stash->{msg}='konto nieaktywne...'
}


trzeba sie pogodzic, autorzy maja inna filozowfie tu i w kilku
innych miejscach i szkoda czasu na ronieniee lez.

jak nie pasuje, napisac wlasny frejmlork, bo mowimy o fundamentalnych
zmianach - fundamenty ciezko zmienic

--
pp
-------------- następna część ---------
Załącznik HTML został usunięty...
URL:  <http://mail.pm.org/pipermail/warszawa-pm/attachments/20110103/14269434/attachment.html>


Więcej informacji o liście Warszawa-pm