Ošetření práv k zobrazení

Upozornění: Tohle vlákno je hodně staré a informace nemusí být platné pro současné Nette.
jarda256
Člen | 130
+
0
-

Ahoj, chtěl bych se zeptat. Mám systém kde se uživatelé přihlašují na různé akce. Mohou tam pak vidět detail svojí přihlášky. Ale bohužel jsem zjistil, že když přepíšu id v url, tak se dostanu i na cizí přihlášku. Jak se dá tohle nejlépe ošetřit??

CZechBoY
Člen | 3608
+
0
-

V akci si zkontroluj ze prihlaska patri prihlasenemu uzivatelovi. Kdyz nepatri tak zobraz 404 nebo 403, podle tvoji preference.

Oli
Člen | 1215
+
0
-

No zobrazil bych 403. 404 znamená, že stránka neexistuje, ale ona existuje (jen k ní nemáš přístup). :)

V $this->getUser()->getIdentity() máš ID uživatele, tak prostě jen porovnáš, jestli se shoduje s ID majitele akce. Lze to dělat i lépe, ale to už by byly složitější zásahy do Permission a musel by jsi mít uživatele v getIdentity() jako objekt.

CZechBoY
Člen | 3608
+
0
-

@Oli tak zalezi jestli chces uzivateli rict ze tahle stranka pro nej neexistuje nebo na ni nema pristup (ikdyz treba neexistuje).