<br><meta http-equiv="content-type" content="text/html; charset=utf-8"><span class="Apple-style-span" style="font-family: arial, sans-serif; font-size: 13px; border-collapse: collapse; "><div class="im" style="color: rgb(80, 0, 80); ">
<blockquote class="gmail_quote" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0.8ex; border-left-width: 1px; border-left-color: rgb(204, 204, 204); border-left-style: solid; padding-left: 1ex; ">
<br class="Apple-interchange-newline">2. Problem tak naprawdę leży w tym, że authenticate nie tylko<br>autentykuje ale też loguje do systemu. Jeśli ktoś poda prawidłowe<br>hasło dla nieaktywnego użytkownika to można się zgodzić, że jest<br>
zautentykowany, ale $c->user nie powinno być ustawione.<br><br><br></blockquote><br></div><div class="im" style="color: rgb(80, 0, 80); ">zgadzam sie<br><br>w Catalyst::Plugin::Authentication jest<br><br><br>The next logical step is authorization, the process of deciding what a<br>
user is (or isn't) allowed to do. For example, say your users are split<br>into two main groups - regular users and administrators. You want to<br>verify that the currently logged in user is indeed an administrator<br>
before performing the actions in an administrative part of your<br>application. These decisions may be made within your application code<br>using just the information available after authentication, or it may be<br>facilitated by a number of plugins.<br>
<br><br><br>czyli po authentication trzeba jeszcze np sprawdzic czy konto nie wygaslo (jesli aplikacja ma taka strukture), </div><div class="im" style="color: rgb(80, 0, 80); ">czy np nie jest aktywna sesja z innego adresu IP (jesli jest wyamganie jednej sesji).<br>
<br>i jak cos jest nie tak zrobic $c->logout<br><br>zreszta moze byc wymog aby takie sprawdzania (waznosci konta) robic<br>przy kazdym requescie - a sprawdzanie hasla tylko przy logowaniu.<br><br><br></div>taka logika moze sie zmieniac w zaleznosci od innych danych aplikacji<div class="im" style="color: rgb(80, 0, 80); ">
<br><br>authentication (sprawdznie user-paswsword) jest na tyle uniwersalne, ze<br>mozna napisac ogolny modul<br><br>dodatkowe warunki (authorization) okresla biznes i to juz jest wolna amerykanka<br><br></div>authenticatuion to tylko sprawdzenie tozsamosci - nic wiecej - nie<br>
nalezy tam pchac nic wiecej.<br><br>oczywiscie bezpieczniej byloby zrobic<br><br>$user=$c->authenticate(...)<br>if($user and $user->isactive ...){<div class="im" style="color: rgb(80, 0, 80); "><br> $c->login($user)<br>
}else{<br> $c->stash->{msg}='konto nieaktywne...'<br>}<br><br><br></div>niz jak jest teraz w catalyscie<br><br>$c->authenticate<br>unless($c->user and $c->user->isactive...){<div class="im" style="color: rgb(80, 0, 80); ">
<br> $c->logout<br> $c->stash->{msg}='konto nieaktywne...'<br>}<br><br><br></div>trzeba sie pogodzic, autorzy maja inna filozowfie tu i w kilku<br>innych miejscach i szkoda czasu na ronieniee lez.<br>
<br>jak nie pasuje, napisac wlasny frejmlork, bo mowimy o fundamentalnych zmianach - fundamenty ciezko zmienic<br><br>--<br><font color="#888888">pp</font></span><div><font class="Apple-style-span" color="#888888" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><br>
</span></font></div>