Giacomo Zanobini ha scritto:
prima di determinate azioni, quando voglio sapere qual è l'utente
collegato, fino ad oggi ho fatto così:
_ tal:define="utente container/REQUEST/AUTHENTICATED_USER"_
adesso mi chiedo, però se questo metodo è quello giusto ed se è
sicuro, ovvero mi chiedo se sia possibile chiamare una pagina o uno
script, passando un AUTHENTICATED_USER diverso da quello reale,
ingannando il sistema. (per esempio spacciandomi per admin), magari
senza neppure avere fatto il login.
Mi posso fidare di questo semplice controllo?
Infatti si usa tal:define="utente user/getUserName" :)
le zpt in plone già espongono l'oggetto user:
http://plone.org/documentation/tutorial/zpt/tutorial-all-pages
"user/getUserName: The authenticated user's login name."
in generale, puoi usare il security manager:
python:modules['AccessControl'].getSecurityManager().getUser().getUserName()
<form action="upload"
tal:condition="python:
modules['AccessControl'].*getSecurityManager*().checkPermission(
'Add / Documents, Images, and Files', context)">
...
</form>
etc etc
trovi tutto in http://zope2.zope.org/ sullo zope2 book :)
http://docs.zope.org/zope2/zope2book/Security.html#performing-security-checks
Ciao, Giacomo
------------------------------------------------------------------------
_______________________________________________
Plone-IT mailing list
[email protected]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html
_______________________________________________
Plone-IT mailing list
[email protected]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html
