Discussion :

[mantex]

Bonjour,

Nouveau défi.

Protéger un formulaire par un token stocké en base.

Une invitation est envoyé par e-mail contenant le lien du formulaire incluant un token chaque fois différent.

Aprés avoir modifié le routing.yml, j' envoi donc des urls de type:

frontend_dev.php/evaluation/index/284a46a51a56859871278a651df4721b

Ensuite j' essai de récupérer le token pour vérifier son existence en base, en me servant de la tool bar et de l' api.

J' essai de faire comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
public function executeIndex(sfWebRequest $request)
  {
 
     $this->token = $sf_request->sfParameterHolder();
     $this->invitation =   Doctrine_Core::getTable('Invitation')->getToken($this->token);

Mais j' obtiens un joli:
Notice: Undefined variable: sf_request
Fatal error: Call to a member function sfParameterHolder()

[Michel Rotta]

On va supposer que ta route est sous la forme

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
# apps/<application>/config/routing.yml
 
action_token:
  url: /evaluation/index/:token
  param:
    module: MonModuleName
    action: index
 
...

Le code de l'action sera alors

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
// apps/<application>/modules/MonModuleName/actions/actions.class.php
 
public function executeIndex(sfWebRequest $request)
{
   $this->forward404until($this->invitation = $request->getParameter('token', )null);
}

Le paramètre récupéré au lancement de l'action est justement le résultat du request envoyé avec tous les paramètres. Le fait de le faire dans un forward404 permet de vérifier que le paramètre est renseigné, si non, il renvoie sur une page d'erreur 404. Il faudra encore faire le même traitement sur le token et sa durée de validation.

On peut aussi, peut-être, envisager de ce servir d'une DoctrineRoute, qui s'occupera de la vérification de l'existence du token dans la table (mais pas de la pertinence de la date)(quoique, a étudier...) dans ce cas, on serait ainsi sur de l'existence du l'enregistrement d'invitation, sans avoir à mettre une ligne de code dans l'action (ce qui n'empêche que la vérification de la date se fera dans le modèle, donc, il reste bien du code à créer).

[mantex]

Oui mais j' ai besoin de savoir si le token existe dans la base

Au passage ton code me génère ceci..

500 | Internal Server Error | sfException
Call to undefined method evaluationActions::forward404until.


Pour la route j' avais trouve ceci qui me semblait intéressant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
evaluation:
  url:  /evaluation
  param: { module: evaluation, action: index }
  class:        sfDoctrineRouteCollection
  options:      { model: Invitation, column: token }
  requirements: { token: \w+ }

[Michel Rotta]

Oui mais j' ai besoin de savoir si le token existe dans la base

Je n'ai jamais dis autre chose... au contraire.

Au passage ton code me génère ceci..

--> forward404Unless()

[mantex]

C 'est mieux.. .

Mais quelque soit le token passé dans l' url mon formulaire s' affiche..

Ce qui m' étonne qu' a moitié vu que je ne fais aucune requete dans la table invitation pour vérifier.

d' ou mon

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$this->invitation = Doctrine_Core::getTable('Invitation')->getToken($this->token);

[mantex]

En fait pourquoi faire compliquer si on passe le paramètre token comme ceci,

.......evaluation/index/?token=284a46a51a56859871278a651df4721b

On peut le récupérer comme ceci..

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$this->token = $request->getParameter('token');

Par contre, chez moi ceci n' a aucun effet

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$this->forward404Unless($this->token = $request->getParameter('token'),null);

[spikie]

essaie plutôt:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$this->forward404Unless($this->token = $request->getParameter('token'));

[mantex]

Cela ne change rien.. meme si je passe aucun token , je ne suis pas redirigé vers une 404.

Ma requete sql semble être effectuée mais pas stocké dans le bon objet.

[spikie]

Tu utilise quelle route?

Sinon avec la route qui tu as donnée plutot, j'aurai plutot fait comme ça

Code routing.yml :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
evaluation:
  url:  /evaluation/:token
  param: { module: evaluation, action: index }
  class:        sfDoctrineRoute
  options:      { model: Invitation, type: object}
  requirements: { token: \w+ }

Puis dans ton code tu peux faire ainsi après :

Code action.class.php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
...
  public function index(sfWebRequest $request) {
    $this->invitation = $this->getRoute()->getObject(); // Tu aura l'objet invitation
  }
...

Normalement pas besoin de forward404unless car il va checker tout seul si le token existe!

cf: la doc http://www.symfony-project.org/jobee...se_de_la_route

ps: sur la documentation de symfony, le jobeet montre comment mettre en place un système de token assez simple mais qui marche très bien!

[mantex]

Oui mais je me suis d' ailleuurs inspiré de cela.

Dans mon cas les token sont gérés dans une autre table puis envoyé par mail aux personnes concerné.

Si le token est valide, le formulaire s' affiche en récupérant au passage qui est concerné ( l' évalué et celui qui évalue..).



Mais quand j' essai

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
 $this->invitation = $this->getRoute()->getObject();

j' obtiens un jolie

Call to undefined method sfRoute::getObject()

[spikie]

Tu utilise quelle version de symfony?

Normalement le code que j'ai mis marche, du moins pour ma part j'utilise beaucoup les routing avancés

[mantex]

1.4.8...

[mantex]

En fait c' était bete comme choux !!

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
this->token = $request->getParameter('token');

avec un ?token=<chaine> dans l' url. .