Utilité et fonctionnalités du plugin
Le plugin accès restreint vous permet de protéger et de restreindre l’accès à certaines rubriques uniquement aux visiteurs authentifiés et autorisés.
Si un visiteur n’est pas identifié ou s’il n’est pas autorisé, alors l’intégralité de la rubrique (ce qui inclut les sous-rubriques, les articles, les liens ...) ne sera pas visible par ce visiteur.
Si le visiteur est identifié, alors ce visiteur pourra accéder aux rubriques pour lesquelles il a reçu une autorisation d’accès.
Ainsi, ce plugin vous permet de masquer du contenu aux visiteurs non identifiés, et de créer des droits d’accès aux visiteurs identifiés.
Le plugin vous permet également de filtrer l’espace privé.
En résumé, le plugin Accès restreint permet de définir et de gérer des zones de l’espace public et de l’espace privé en accès restreint.
Chaque zone contient des rubriques, et les auteurs peuvent être associés à des zones pour avoir le droit d’y accéder.
Toutes les boucles natives de SPIP sont modifiées pour en filtrer les résultats en fonction des droits du visiteur.
I. Installation du plugin accès restreint
Le plugin s’installe comme tous les autres, en ajoutant le dossier dans plugins/ et en l’activant dans l’espace privé.
Attention : en activant ou en désactivant ce plugin, il faut penser à vider le cache de SPIP pour que les droits d’accès soient modifiés.
En particulier, en cas de désactivation, si le cache n’est pas vidé, des erreurs vont apparaître sur le site public. Ce n’est pas un bug, mais une sécurité, pour éviter une divulgation de contenu en cas de désactivation involontaire du plugin.
Le plugin pourrait gérer automatiquement le changement de cache lors de son activation/désactivation, mais dans ce cas, en cas de désactivation involontaire, le contenu protégé serait immédiatement visible, ce qui peut être considéré comme une faille de sécurité.
II. Définir les zones en accès restreint
Les étapes précédentes ont pour effet de faire apparaître un nouvel onglet dans Configuration / Accès restreint, avec une petite icone de cadenas : ecrire/ ?exec=acces_restreint
C’est cette page qui va vous permettre de gérer les zones d’accès restreint de votre site, créer de nouvelles zones ou modifier les zones existantes. Pour créer votre première zone, cliquez sur le raccourci Créer une nouvelle zone.
L’administrateur qui crée la zone peut s’octroyer immédiatement les droits d’accès. Seul un administrateur général du site peut créer, modifier ou supprimer une zone.
Renseignez le titre, le descriptif, la portée (publique et/ou privée) de la zone.
Par défaut, l’option « m’ajouter les droits d’accès à cette zone » est cochée car cela correspond à l’usage le plus fréquent.
Il faut ensuite définir les rubriques qui en font partie. Si on coche la racine du site, il n’y a plus aucun affichage sur l’espace public pour ceux qui ne sont pas identifiés. C’est pratique, par exemple, pour mettre un site en ligne pour les administrateurs et les auteurs sans qu’il soit visible pour le simple visiteur.
Les rubriques qui sont cochées sont explicitement restreintes. Si elles sont déplacées dans le site, elle le resteront. Les rubriques qui ne sont pas cochées mais dépendent d’une rubrique restreinte sont elles aussi restreintes, par héritage. Mais si elles sont déplacées dans l’arborescence dans une zone non restreinte elles seront visibles.
Il faut imaginer la restriction d’accès des rubriques comme une restriction d’accès dans un immeuble : lorsqu’il faut une autorisation pour franchir une porte, tout ce qui est derrière se retrouve en accès restreint.
Cliquez sur « Enregistrer » pour créer la zone. Vous revenez alors à la liste des zones, ou apparaît votre nouvelle zone :
Pour chaque zone, un résumé apparaît indiquant le titre et le descriptif de la zone, le nombre de rubriques restreintes, le nombre d’auteurs autorisés, et si la zone et publique et/ou privée.
Le pictogramme en haut à droite de la zone vous indique si vous avez personnellement accès à la zone. Dans le cas où vous n’avez pas accès, il indique un sens interdit sur fond rouge, et sinon une coche sur fond vert, comme ici.
III. Ajouter des auteurs à une zone
Depuis la zone
Vous pouvez maintenant ajouter d’autres auteurs à la zone qui auront le droit de voir son contenu.
Pour cela, cliquez sur modifier
Vous retrouvez le formulaire d’édition de la zone avec :
- les rubriques concernées reperées visuellement par un fond coloré
- la liste des auteurs autorisés dans la colonne de gauche
Vous pouvez cliquer sur « Ajouter des auteurs » pour visualiser la liste des auteurs du site, triés par nom et paginés :
Le picto « + » situé à droite de chaque auteur vous permet de l’ajouter à la liste des auteurs autorisés. La croix rouge située à droite de chaque auteur autorisé vous permet de le retirer de cette liste.
Vous pouvez ainsi administrer la liste des auteurs autorisés en la complétant comme par exemple ici :
Les mises à jour de la liste des auteurs autorisés sont appliquées immédiatement, sans qu’il soit nécessaire d’enregistrer la zone.
Lorsque vous avez fini, revenez à la liste des zones (par le bouton retour donc, ou le bouton enregistrer si vous avez fait d’autres modifications). Vous pouvez voir que le nombre d’auteurs a été mis à jour.
Depuis une fiche auteur
Vous pouvez aussi gérer les droits d’un auteur depuis sa page personelle dans l’interface privée :
Vous pouvez sélectionner une zone et cliquer sur « Ajouter » :
La liste des zones autorisées est alors mise à jour :
Le lien « Enlever de la zone » vous permet de retirer les droits d’accès à une zone pour cet auteur.
IV. Fonctionnement et boucles du plugin
Tout le fonctionnement des squelettes et des boucles est inchangé par rapport à la version précedente du plugin. On se reportera donc à la partie concernée de sa documentation.
V. Protéger les documents de SPIP
La protection des documents de SPIP associé aux articles protégés est une fonctionnalité souvent demandée.
Le plugin accès restreint permet cela, si votre hébergement remplit deux conditions :
- qu’il accepte les fichiers .htaccess permettant de donner des directives au serveur
- qu’il soit suffisamment bien dimensionné, car les accès aux images et documents du site vont tous générer un accès à la base de données (pour savoir si les documents concernés peuvent être vus), ce qui ralentit fortement le site.
Si vous êtes dans ces conditions, ou que vous voulez tout de même essayer (mais on vous aura prévenu), voici comment faire :
Allez sur la page d’accueil du plugin Accès Restreint en cliquant sur son icône dans le menu « Configuration »
Vous arriverez sur cette page :
Cliquez sur le raccourci « Configuration des accès .htaccess » :
Vous arriverez sur cette page :
Il suffit de cocher « Interdire la lecture », dans le premier cadre « Accès aux documents joints par leur URL », et « Créer les fichiers .htpasswd » dans le second cadre.
Vider ensuite votre cache. Tous les urls vers des images et documents de SPIP seront alors remplacés par un url de la forme spip.php?action=acceder_document&file=xxx, qui provoquera la lecture de l’autorisation d’accès au document [1].
Si votre site devient très lent ou plante sans arrêt sur une erreur du type « Accès impossible à mySQL », alors votre hébergement n’est pas suffisant pour ce fonctionnement. Désactiver la fonction pour revenir à un fonctionnement normal.
En complément, si après la mise en place du fichier .htaccess certaines pages de l’interface privée vous sont inaccessibles et que vous obtenez des messages « Accès interdit », vous pouvez désactiver la vérification htaccess de l’interface privée, dans les options du site.
VI. Paramétrage plus fin des restrictions
AR_TYPE_RESTRICTION définit le type de restriction pour traiter les élements communs à plusieurs zones :
- Une restriction exclusive (ou forte) donne l’acces aux rubriques restreintes par plusieurs zones aux seuls membres de toutes les zones concernées.
- Une restriction faible donne acces à une rubrique, même restreinte par plusieurs zones, aux membres de chaque zone concernée.
- Valeurs possibles :
-
faible, -
forteouexclusive(par défaut)
-
Autrement dit, si une rubrique 2 est enfant d’une rubrique 1, et qu’il existe une zone 1 (rubrique 1) et une zone 2 (rubrique 2) :
- un auteur présent dans la zone 1 (uniquement) ne pourra pas voir la rubrique 2 lorsque la restriction est « forte ». Il le pourra avec une restriction « faible »
- À l’inverse, un auteur présent uniquement dans la zone 2 ne pourra pas voir la rubrique 1 même si la restriction est « faible » car la parentée n’est pas concernée. Il faut (si souhaité) dans ce cas définir en plus AR_TYPE_RESTRICTION_PARENTEE à « faible » pour l’autoriser.
Exemple, dans config/mes_options.php :
# Pour qu'une rubrique placée dans une Zone puisse
# être accédée en étant une sous rubrique d'une autre Zone
define('AR_TYPE_RESTRICTION','forte');
define('AR_TYPE_RESTRICTION_PARENTEE','faible');AR_TOUJOURS_TOUT_VOIR est une constante qui, si elle est définie dans le fichier mes_options.php de votre site (ou le fichier d’options de votre plugin qui utilise acces_restreint) modifie le comportement des boucles afin qu’elles affichent tous les résultats, sans aucune restriction. Pour restreindre un affichage, le squelette doit donc tester à la main, par exemple avec le filtre accesrestreint_article_restreint.
Exemple :
- dans mes_options :
define (AR_TOUJOURS_TOUT_VOIR, 1);
- dans un fichier squelette :
<BOUCLE_a(ARTICLES)>
[(#ID_ARTICLE|accesrestreint_article_restreint|oui) <INCLURE{fond=intro_article}{id_article}> ]
[(#ID_ARTICLE|accesrestreint_article_restreint|non) Pas accés à cette page]
</BOUCLE_a>AR_RESTRICTION_LIENS_STRICTE (après 4.1.0) est une constante qui, si elle est définie dans le fichier mes_options.php de votre site (ou le fichier d’options de votre plugin qui utilise acces_restreint) permet de ne jamais autoriser l’accès à un document ou un forum lié à un objet en accès restreint.
Exemple :
- dans mes_options :
define (AR_RESTRICTION_LIENS_STRICTE, 1);
Discussions par date d’activité
476 discussions
Bonjour,
J’ai la version 3.8.13 installé mais qui n’est pas compatible avec la version de Spip 3.1.
Puis-je installer la version 3.14.0 sans perdre la configuration établie avec la version 3.8.13 ?
Ou dois-je tout recommencer ?
Merci pour votre prochaine réponse.
Répondre à ce message
Version 3.14 annoncée, mais dirige sur un zip version 3.13
A++
Répondre à ce message
Bonjour,
Les rubriques protégées dans l’espace privé apparaissent quand même dans le petit icône en haut à gauche : « Plan du site », elles sont cliquables, puis on arrive sur « Vous n’avez pas accès ... »
Est-ce possible de n’afficher dans ce plan déroulant que les rubriques non protégées, de la même manière que dans Edition > Rubriques et en page d’accueil, où ça fonctionne déjà comme ça ?
SPIP 3.0.20
Accès restreint 3.13.4
Répondre à ce message
Bonjour.
Je viens de faire une mise à jour vers SPIP 3.1.. et je regrette bien...
Plusieurs plugins sont incompatibles.. jet certains n’ont pas encore de version compatible.
Le site est hébergé chez Free, et j’ai du ajouter dans mon .htaccess
(en remplacement de php1)
Je suis bien maintenant sous PHP Version 5.6.8 et Version du client MySQL : 5.1.61 et tout fonctionne... quand je suis connecté en mode administrateur.
J’ai bien installé la dernière version 3.13.6 d’accès restreint qui est reconnue comme compatible, mais entraine les dysfonctionnements suivants :
- Lorsque je vais dans la gestion de ’accès restreint après avoir vidé le cache, j’obtiens une erreur : « Filtre accesrestreint_acces_zone non défini » pour le fichier « ../plugins/acces_restreint/prive/squelettes/inclure/acces_restreint.html »
- Si je ne suis pas connecté en administrateur, le site ne s’affiche pas et j’obtiens le message « Fatal error : Call to undefined function accesrestreint_liste_objets_exclus() in /var/www/.........../tmp/cache/skel/html_f7a72f7c15527e9fefe562fecb18cf87.php on line 989 »
La désactivation du plugin supprime bien évidemment ces messages d’erreur....
Mais je suis dans l’impasse, car c’est un site associatif (chorale) dans lequel il y doit y avoir une partie publique et une partie réservée aux membres (documents de travail).
Si quelqu’un peut me dépanner.. ça serait un grand soulagement
MERCI d’avance...
Répondre à ce message
Bonjour,
Étant entrain de développer (en local) un nouveau portail sur spip 3.1-rc3 je constate que l’accès restreint encore en développement, ne fonctionne pas vraiment encore : un article publié dans une section paramétrée pour être restreinte apparaît à l’accueil public du site.
Serait-il possible de connaître à la louche le délai que pourrait prendre la finalisation de ce plugin, afin de déterminer si il n’est pas préférable de développer en 3.0, le site en question étant sensé se fabriquer autour de cette fonctionnalité d’accès restreint ?
Merci pour vos réponses.
Avec mes encouragements.
Philippe
Répondre à ce message
Bonjour.
Ce plugin convient tout à fait à notre besoin à savoir celui de définir une « zone intranet » dans l’ensemble des documents servis par le SPIP de notre laboratoire. Cependant, au lieu d’une authentification par « nom-d-utilisateur/mot-de-passe » nous aimerions pouvoir conditionner l’accès à la zone intranet à la localisation IP de la machine accédant au site. Autrement dit nous souhaiterions pouvoir définir les plages d’adresses IP, ou même mieux les noms de domaine depuis lesquels un accès à la zone intranet serait autorisés.
Est-il selon vous possible de le faire en s’appuyant sur votre plugin ? Merci d’avance.
Bonsoir,
Avez vous regarder le plugins intranet ?
Pierre,
Merci pour votre suggestion ! J’ai téléchargé le plugin et vais voir si ses possibilités nous le rendent utiles. Avez-vous vous même une expérience de ce plugin ?
Encore merci.
Répondre à ce message
Ce plugin a un problème avec l’affichage des images dans Sarka-SPIP 3.4 : elles ne s’affichent pas correctement. J’ai mis un mot en ce sens sur le site de Sarka-SPIP.
http://www.sarka-spip.net/spip.php?page=forum&id_article=508&id_forum=16955#forum16955
Peut-être lié ? Avec le plugin « modèle média » et l’activation de la protection des media, la retaille des images ne fonctionne plus :
getimagesize(): Filename cannot be emptyEn désactivant la fonctionnalité, tout refonctionne normalement. N’y a-t-il pas moyen d’avoir les 2 activés ?
Répondre à ce message
Bonjour.
J’utilise SPIP 3.0.20 et le plugin en version 3.8.13 sur une page perso de Free (php 5, apache custom). Le plugin est configuré pour « protéger » les documents attachés.
Free n’autorise pas la réécriture d’URL, le plugin le détecte, et mes documents attachés apparaissent avec une URL de la forme suivante : http:///docrestreint.api///pdf/document.pdf.
Mais bon, précisément parce que l’URL Rewrite est interdit, ceci n’est pas transformé par le serveur Apache de Free en http:///spip.php ?action=api_docrestreint&arg=//pdf/document.pdf.
Du coup, ça ne marche pas (404).
Deux hypothèses :
- ça vient du plugin : le problème du Rewrite n’a pas été pensé jusqu’au bout par les auteurs (ou une régression ?)
- ça vient de moi : le rewrite est interdit, mais peut-être que la redirection est possible sous Free, et je n’ai pas le bon .htaccess de racine (qui est pour l’instant limité chez moi à « php 5 »).
Quelqu’un a des infos (pour l’instant, je vais me contenter de patcher le plugin chez moi, et si ça aboutit je mettrai mon patch en followup) ?
Merci !
Bon, il semble que mon patch fonctionne :
Dans le fichier plugins\acces_restreint\urls\generer_url_document.php, remplacer à la ligne 56 (et pas 1 comme indiqué ci-dessous, je ne parviens pas à changer le numéro de ligne) :
par :
Mais bon, si quelqu’un a une idée de la raison pour laquelle je dois faire ça...
Répondre à ce message
Bonjour, encore une question :
Est-il possible de contrôler l’affichage d’un élément du squelette en fonction de l’appartenance de l’utilisateur connecté à une zone, comme on peut le faire avec la balise #SESSION comme par exemple pour réserver l’usage du PS des articles à certains auteurs
Merci et bonne journée
Re-bonjour,
J’ai une question technique complémentaire sur la multiplication des éléments de cache lorsqu’on contrôle les accès en fonction du statut d’enregistrement des visiteurs. Pour éviter les doublons, c’est ici
Réponse tout seul comme un grand !
Dans la page d’article on appelle une inclusion
Dans le fichier appelé on fait une boucle pour savoir si le visiteur est connecté avec les droits qui lui permettent d’afficher telle rubrique (en fonction des zones qui lui sont accessibles). Dans cette boucle on met les portions de squelette que l’on veut contrôle (ici l’accès au PS de l’article ne sera présenté qu’aux happy few de la zone had-hoc).
Je présume que la gestion des caches sera bonne, mais une critique ou une confirmation seraient bienvenues. Par contre je trouve cela moyen pour la maintenance : si j’oublie à quels endroits je met ce genre de contrôle et que la gestion de mes zones évolue, les contrôles d’accès pourraient devenir hors de contrôle. A suivre, résolu pour le moment.
Répondre à ce message
Bonjour,
Est il possible de configurer une zone pour tous les auteurs enregistrés, qui intègre les nouveaux auteurs quand il s’en rajoute au site, sans avoir à faire une deuxième manipulation afin de leur donner avvès aux contenus correspondants, qui restent invisibles pour les visiteurs non enregistrés.
Bonjour,
Avez-vous eu une réponse par ailleurs à cette demande ? J’ai le même souci, j’aimerais que les visiteurs que j’ajoute aient automatiquement accès à la zone « espace membre » du site plutôt que de devoir les ajouter manuellement...
Ce serait vraiment très utile en effet, quand il s’agit de créer un espace membres pour une association de plusieurs centaines d’adhérents...
Bonjour,
Vous avez vu http://forum.spip.net/fr_258824.html où il parle de cela ?
Cette fois j’ai vu, utilisé et complété l’astuce indiquée. C’est parfait, merci.
Répondre à ce message
Ajouter un commentaire
Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :
Merci d’avance pour les personnes qui vous aideront !
Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.
Suivre les commentaires :
|
