Ošetření práv k zobrazení

jarda256

Ahoj, chtěl bych se zeptat. Mám systém kde se uživatelé přihlašují na různé akce. Mohou tam pak vidět detail svojí přihlášky. Ale bohužel jsem zjistil, že když přepíšu id v url, tak se dostanu i na cizí přihlášku. Jak se dá tohle nejlépe ošetřit??

CZechBoY

V akci si zkontroluj ze prihlaska patri prihlasenemu uzivatelovi. Kdyz nepatri tak zobraz 404 nebo 403, podle tvoji preference.

Oli

No zobrazil bych 403. 404 znamená, že stránka neexistuje, ale ona existuje (jen k ní nemáš přístup). :)

V $this->getUser()->getIdentity() máš ID uživatele, tak prostě jen porovnáš, jestli se shoduje s ID majitele akce. Lze to dělat i lépe, ale to už by byly složitější zásahy do Permission a musel by jsi mít uživatele v getIdentity() jako objekt.

CZechBoY

@Oli tak zalezi jestli chces uzivateli rict ze tahle stranka pro nej neexistuje nebo na ni nema pristup (ikdyz treba neexistuje).