Utilité et fonctionnalités du plugin
Le plugin accès restreint vous permet de protéger et de restreindre l’accès à certaines rubriques uniquement aux visiteurs authentifiés et autorisés.
Si un visiteur n’est pas identifié ou s’il n’est pas autorisé, alors l’intégralité de la rubrique (ce qui inclut les sous-rubriques, les articles, les liens ...) ne sera pas visible par ce visiteur.
Si le visiteur est identifié, alors ce visiteur pourra accéder aux rubriques pour lesquelles il a reçu une autorisation d’accès.
Ainsi, ce plugin vous permet de masquer du contenu aux visiteurs non identifiés, et de créer des droits d’accès aux visiteurs identifiés.
Le plugin vous permet également de filtrer l’espace privé.
En résumé, le plugin Accès restreint permet de définir et de gérer des zones de l’espace public et de l’espace privé en accès restreint.
Chaque zone contient des rubriques, et les auteurs peuvent être associés à des zones pour avoir le droit d’y accéder.
Toutes les boucles natives de SPIP sont modifiées pour en filtrer les résultats en fonction des droits du visiteur.
I. Installation du plugin accès restreint
Le plugin s’installe comme tous les autres, en ajoutant le dossier dans plugins/ et en l’activant dans l’espace privé.
Attention : en activant ou en désactivant ce plugin, il faut penser à vider le cache de SPIP pour que les droits d’accès soient modifiés.
En particulier, en cas de désactivation, si le cache n’est pas vidé, des erreurs vont apparaître sur le site public. Ce n’est pas un bug, mais une sécurité, pour éviter une divulgation de contenu en cas de désactivation involontaire du plugin.
Le plugin pourrait gérer automatiquement le changement de cache lors de son activation/désactivation, mais dans ce cas, en cas de désactivation involontaire, le contenu protégé serait immédiatement visible, ce qui peut être considéré comme une faille de sécurité.
II. Définir les zones en accès restreint
Les étapes précédentes ont pour effet de faire apparaître un nouvel onglet dans Configuration / Accès restreint, avec une petite icone de cadenas : ecrire/ ?exec=acces_restreint
C’est cette page qui va vous permettre de gérer les zones d’accès restreint de votre site, créer de nouvelles zones ou modifier les zones existantes. Pour créer votre première zone, cliquez sur le raccourci Créer une nouvelle zone.
L’administrateur qui crée la zone peut s’octroyer immédiatement les droits d’accès. Seul un administrateur général du site peut créer, modifier ou supprimer une zone.
Renseignez le titre, le descriptif, la portée (publique et/ou privée) de la zone.
Par défaut, l’option « m’ajouter les droits d’accès à cette zone » est cochée car cela correspond à l’usage le plus fréquent.
Il faut ensuite définir les rubriques qui en font partie. Si on coche la racine du site, il n’y a plus aucun affichage sur l’espace public pour ceux qui ne sont pas identifiés. C’est pratique, par exemple, pour mettre un site en ligne pour les administrateurs et les auteurs sans qu’il soit visible pour le simple visiteur.
Les rubriques qui sont cochées sont explicitement restreintes. Si elles sont déplacées dans le site, elle le resteront. Les rubriques qui ne sont pas cochées mais dépendent d’une rubrique restreinte sont elles aussi restreintes, par héritage. Mais si elles sont déplacées dans l’arborescence dans une zone non restreinte elles seront visibles.
Il faut imaginer la restriction d’accès des rubriques comme une restriction d’accès dans un immeuble : lorsqu’il faut une autorisation pour franchir une porte, tout ce qui est derrière se retrouve en accès restreint.
Cliquez sur « Enregistrer » pour créer la zone. Vous revenez alors à la liste des zones, ou apparaît votre nouvelle zone :
Pour chaque zone, un résumé apparaît indiquant le titre et le descriptif de la zone, le nombre de rubriques restreintes, le nombre d’auteurs autorisés, et si la zone et publique et/ou privée.
Le pictogramme en haut à droite de la zone vous indique si vous avez personnellement accès à la zone. Dans le cas où vous n’avez pas accès, il indique un sens interdit sur fond rouge, et sinon une coche sur fond vert, comme ici.
III. Ajouter des auteurs à une zone
Depuis la zone
Vous pouvez maintenant ajouter d’autres auteurs à la zone qui auront le droit de voir son contenu.
Pour cela, cliquez sur modifier
Vous retrouvez le formulaire d’édition de la zone avec :
- les rubriques concernées reperées visuellement par un fond coloré
- la liste des auteurs autorisés dans la colonne de gauche
Vous pouvez cliquer sur « Ajouter des auteurs » pour visualiser la liste des auteurs du site, triés par nom et paginés :
Le picto « + » situé à droite de chaque auteur vous permet de l’ajouter à la liste des auteurs autorisés. La croix rouge située à droite de chaque auteur autorisé vous permet de le retirer de cette liste.
Vous pouvez ainsi administrer la liste des auteurs autorisés en la complétant comme par exemple ici :
Les mises à jour de la liste des auteurs autorisés sont appliquées immédiatement, sans qu’il soit nécessaire d’enregistrer la zone.
Lorsque vous avez fini, revenez à la liste des zones (par le bouton retour donc, ou le bouton enregistrer si vous avez fait d’autres modifications). Vous pouvez voir que le nombre d’auteurs a été mis à jour.
Depuis une fiche auteur
Vous pouvez aussi gérer les droits d’un auteur depuis sa page personelle dans l’interface privée :
Vous pouvez sélectionner une zone et cliquer sur « Ajouter » :
La liste des zones autorisées est alors mise à jour :
Le lien « Enlever de la zone » vous permet de retirer les droits d’accès à une zone pour cet auteur.
IV. Fonctionnement et boucles du plugin
Tout le fonctionnement des squelettes et des boucles est inchangé par rapport à la version précedente du plugin. On se reportera donc à la partie concernée de sa documentation.
V. Protéger les documents de SPIP
La protection des documents de SPIP associé aux articles protégés est une fonctionnalité souvent demandée.
Le plugin accès restreint permet cela, si votre hébergement remplit deux conditions :
- qu’il accepte les fichiers .htaccess permettant de donner des directives au serveur
- qu’il soit suffisamment bien dimensionné, car les accès aux images et documents du site vont tous générer un accès à la base de données (pour savoir si les documents concernés peuvent être vus), ce qui ralentit fortement le site.
Si vous êtes dans ces conditions, ou que vous voulez tout de même essayer (mais on vous aura prévenu), voici comment faire :
Allez sur la page d’accueil du plugin Accès Restreint en cliquant sur son icône dans le menu « Configuration »
Vous arriverez sur cette page :
Cliquez sur le raccourci « Configuration des accès .htaccess » :
Vous arriverez sur cette page :
Il suffit de cocher « Interdire la lecture », dans le premier cadre « Accès aux documents joints par leur URL », et « Créer les fichiers .htpasswd » dans le second cadre.
Vider ensuite votre cache. Tous les urls vers des images et documents de SPIP seront alors remplacés par un url de la forme spip.php?action=acceder_document&file=xxx, qui provoquera la lecture de l’autorisation d’accès au document [1].
Si votre site devient très lent ou plante sans arrêt sur une erreur du type « Accès impossible à mySQL », alors votre hébergement n’est pas suffisant pour ce fonctionnement. Désactiver la fonction pour revenir à un fonctionnement normal.
En complément, si après la mise en place du fichier .htaccess certaines pages de l’interface privée vous sont inaccessibles et que vous obtenez des messages « Accès interdit », vous pouvez désactiver la vérification htaccess de l’interface privée, dans les options du site.
VI. Paramétrage plus fin des restrictions
AR_TYPE_RESTRICTION définit le type de restriction pour traiter les élements communs à plusieurs zones :
- Une restriction exclusive (ou forte) donne l’acces aux rubriques restreintes par plusieurs zones aux seuls membres de toutes les zones concernées.
- Une restriction faible donne acces à une rubrique, même restreinte par plusieurs zones, aux membres de chaque zone concernée.
- Valeurs possibles :
-
faible, -
forteouexclusive(par défaut)
-
Autrement dit, si une rubrique 2 est enfant d’une rubrique 1, et qu’il existe une zone 1 (rubrique 1) et une zone 2 (rubrique 2) :
- un auteur présent dans la zone 1 (uniquement) ne pourra pas voir la rubrique 2 lorsque la restriction est « forte ». Il le pourra avec une restriction « faible »
- À l’inverse, un auteur présent uniquement dans la zone 2 ne pourra pas voir la rubrique 1 même si la restriction est « faible » car la parentée n’est pas concernée. Il faut (si souhaité) dans ce cas définir en plus AR_TYPE_RESTRICTION_PARENTEE à « faible » pour l’autoriser.
Exemple, dans config/mes_options.php :
# Pour qu'une rubrique placée dans une Zone puisse
# être accédée en étant une sous rubrique d'une autre Zone
define('AR_TYPE_RESTRICTION','forte');
define('AR_TYPE_RESTRICTION_PARENTEE','faible');AR_TOUJOURS_TOUT_VOIR est une constante qui, si elle est définie dans le fichier mes_options.php de votre site (ou le fichier d’options de votre plugin qui utilise acces_restreint) modifie le comportement des boucles afin qu’elles affichent tous les résultats, sans aucune restriction. Pour restreindre un affichage, le squelette doit donc tester à la main, par exemple avec le filtre accesrestreint_article_restreint.
Exemple :
- dans mes_options :
define (AR_TOUJOURS_TOUT_VOIR, 1);
- dans un fichier squelette :
<BOUCLE_a(ARTICLES)>
[(#ID_ARTICLE|accesrestreint_article_restreint|oui) <INCLURE{fond=intro_article}{id_article}> ]
[(#ID_ARTICLE|accesrestreint_article_restreint|non) Pas accés à cette page]
</BOUCLE_a>AR_RESTRICTION_LIENS_STRICTE (après 4.1.0) est une constante qui, si elle est définie dans le fichier mes_options.php de votre site (ou le fichier d’options de votre plugin qui utilise acces_restreint) permet de ne jamais autoriser l’accès à un document ou un forum lié à un objet en accès restreint.
Exemple :
- dans mes_options :
define (AR_RESTRICTION_LIENS_STRICTE, 1);
Discussions par date d’activité
476 discussions
Bonjour,
J’utilise avec bonheur ce plugin depuis longtemps, mais j’ai un problème que je n’arrive pas à résoudre.
Je voudrais donner l’accès à une rubrique à des privilégiés, en partie publique,mais sans qu’ils aient accès à la partie privée.
Le plugin m’autorise à ajouter un visiteur (au sens SPIP du terme), mais dans la réalité le login ne le permet pas, il exige le statut minimum de auteur (au sens SPIP du terme).
J’ai raté un truc ou ce n’est pas possible ?
Merci de votre aide.
Répondre à ce message
Salut, juste pour info et vu que j’ai moi-même pas mal galéré avant de trouver ...
Si SPIP retourne systématiquement des erreurs 404 sur les documents avec l’option « interdire la lecture » du plugin, vous pouvez ajouter manuellement dans votre
.htaccess:Répondre à ce message
Bonjour,
J’utilise ce plugin sur plusieurs sites sans soucis. Et là lors de l’activation j’ai un message d’erreur avec une page de bug en partie publique comme privée.
J’ai un message suivant : 1 Erreur SQL 1146
Table XXXX.spip_zones_auteurs doesn’t exist
SELECT id_zone FROM spip_zones_auteurs WHERE id_auteur=1
le site est sous spip 3.0.20 et j’ai essayé avec les 2 versions proposées du plugin pour SPIP.
Bien entendu, avant de l’activer, j’avais vider le cache. J’ai tenter plusieurs fois l’activation !!
Quelqu’un a déjà eu ce soucis ?
Merci d’avance
Jérôme
Je me réponds à moi même : pour résoudre ce problème, j’ai du créer directement les tables spip_zones et spip_zones_liens via phpMy Admin.
Répondre à ce message
J’ai rencontré un petit souci avec le plugin dans un cas très particulier, peut être que cela pourra aider d’autres personnes...
J’ai une table externe « evenements » qui est utilisé en complément de SPIP, lorsque j’ai tenté d’intégré un modèle pour celle-ci je me suis retrouvé avec des erreurs du type :
La raison est finalement simple : Dans accesrestreint/public/accesrestreint.php ce plugin modifie les requêtes de certaines boucles pour vérifier les restrictions sur celles-ci (j’imagine). Pour une raison que j’ignore elle fait ce traitement également pour les boucles « evenements », alors que ce n’est pas une table SPIP standard. Bref, il suffit de commenter ce « case » dans ce fichier PHP.
Répondre à ce message
Bonjour,
Pour un site SPIP 3 (3.0.19) dont m’occupe, on me demande comment mettre en accès restreint et sécurisé un document PDF ou peut-être Excel (tableau Excel "sécurisé par un mot de passe).
J’ai proposé d’utiliser le plugin « Accès restreint » en mettant une rubrique en zone restreinte pour l’Espace privé et le site publique.
Sans doute à cause des piratages de sites du début de cette année, suivant les attentats, on m’a demandé si ce qu’il y a dans la rubrique en accès restreint pouvait être volé par un pirate.
Est-il par exemple possible de durcir les règles de création de mot de passe d’accès au site ?
Merci d’avance,
Cordialement,
Hervé
Répondre à ce message
Attention, du fait que le plugin Acces restreint modifie la fonction d’accès aux documents (avec une API spip
?action=acceder_document....), il est de fait incompatible avec tous les plugins proposant des players et autres modèles de lecture de fichiers documents ou multimedia (lecteur Audio ou players divers..).La solution /pour ceux qui sauraient/ sera de dupliquer la noisette de lecture, normalement dans trouvée dans un sous-dossier
./modeles/, dans votre propre squelette (en utilisant le Skeleditor par exemple..)...Répondre à ce message
Bonjour,
J’utilise « Accès restreint » pour une rubrique privée au Comité qui gère le site.
Il se trouve que la rubrique apparaît dans le menu, même si on est pas identifié comme un auteur ayant « droit » à y accéder. Jusqu’a présent, dans d’autres sites, le masquage d’une rubrique par « Accès restreint » camouflait aussi la rubrique dans le menu ! Mais je n’avais peut être pas utilisé le plugin « menu » comme aujourd’hui !
Une incompatibilité ? Une erreur de ma part ?
Contourné par la fonction du plugin « menu » mais pourrais devenir insuffisant ni je voulais accueillir d’autres auteurs sans leur montrer la-dite rubrique !
J’ai le même problème. Est ce que vous avez trouvé une solution ?
Les rubriques restreintes sont visibles dans le menu, ainsi que les résumés.
Répondre à ce message
Cerdic, je viens de faire 3h de tests pour isoler le bug très gênant des vignettes avec accès restreint et j’ai réussi :
Démo du bug ici : http://bit.ly/1R0kRO7
SPIP 3.0.17 (dernière version)
Un seul plugin activé : Accès restreint 3.8.13 (dernière version)
Config du plugin : Accès aux documents joints par leur URL : interdire la lecture
SPIP doit-il créer les fichiers spéciaux .htpasswd : cocher oui Créer les fichiers .htpasswd
Joindre un document à un article, lui mettre une vignette, insérer le doc dans le texte de l’article avec la balise doc2|center
Un squelette article.html basique va montrer le bug, voir source de cette page pour le squelette : http://bit.ly/1GRBuZp
Avec image_reduire sur la balise TEXTE, le chemin de l’image vignette va être transformé en ceci et c’est OK :
/local/cache-vignettes/L20xH20/aaaaimage-752d8.jpg
Sans image_reduire sur la balise TEXTE, la vignette a un chemin de type : IMG/jpg/aaaaimage.jpg qui amène sur Forbidden (donc l’image ne s’affiche pas)
Répondre à ce message
Bonjour,
J’ai un petit souci. J’utilise le plugin et il répond à la quasi-totalité de mes besoins. Mais un comportement me chiffonne. J’utilise des zones pour mes classes et donc j’aimerai parfois que deux zones consultent la même rubrique restreinte.
Cependant, un bug apparaît. Si une rubrique est restreinte par une zone, ça marche. Par contre, si une zone est restreinte par deux zones, alors plus personne sauf le webmestre peut consulter le dite zone. Est-ce-normal ?
PS : j’ai vidé le cache après ajout de la seconde zone.
Je viens de faire un site et rien ne marche alors que les précédents étaient OK (spip 2.1.26+ AR 3.3.5)
Effectivement, pour celui-ci, j’ai des zones qui se recoupent : je comprend enfin mon problème et sa solution :
site ->poubelle (enfin gardé sous le coude au cas où ;-)) )
C’est, ma foi, une situation qui peut se rencontrer de manière naturelle si l’on veut garder une hiérarchie cohérente de l’information dans le site.
Si les développeurs désirent prendre en compte cette particularité, je leur précise que le problème vaut aussi pour une rubrique parent et une rubrique fille.
ex :
toutes les rubriques concernant une division -> zone A
sous rubriques communes
sous rubrique concernant un secteur de la division -> Zone B
=plus aucune rubrique accessible
la solution à ce problème est donnée sur la doc initiale de ce plugin, paragraphe XII : il faut ajouter à votre mes_options.php le define pour avoir la restriction « faible »
Aurais-je bien fait de ne pas « vider la corbeille » ?
:-))
Je vous remercie de m’avoir signalé cette option restriction faible, je vais me pencher là dessus.
Pour les néophytes comme moi, il serait judicieux qu’une telle option soit directement accessible dans le pluging (case à cocher ?) plutôt que dans un fichier à éditer manuellement, mais bon, si ça marche, on va surtout pas se plaindre !!
Aussitôt dit, aussitôt fait.
problème, il n’y a aucun fichier « mes_options » propre à spip 2.1.x
- rien sur l’endroit à utiliser pour le créer dans la doc du pluging
- de multiples endroits contradictoires allant de la « racine » au dossier « config » en passant par « ecrire » lorsqu’on fait des recherches.
A priori, il serait de bon ton de le mettre dans « squelettes »
Toutefois, couteau suisse en crée un dans le dossier temporaire tmp. Ignorant comment réagirait spip avec deux fichiers mes_options, j’ai préféré provisoirement coller le code dans celui du couteau suisse, c’est très très sale mais cela marche.
Reste à déterminer
- si spip accepte deux fichiers « mes_options » ou s’il se contente du premier qu’il trouve.
- ce qui se passe en enlevant couteau suisse (j’imagine qu’il vire aussi son fichier)
bon, j’ai parlé trop vite :
avant connexion tout est ok, la protection est normale
après une connexion/déconnexion de l’interface publique (test sur un visiteur), les rubriques protégées deviennent accessibles au commun des mortels.
- La page sommaire ne se réinitialise plus, laissant libre accès aux articles et rubriques.
- une interrogation sans identification sur un autre navigateur permet de surfer sans pb sur les rubriques protégées
La règle :
Semble ensuite s’appliquer, y compris si la rubrique 0 n’est pas protégée.
tout le monde pouvant voir 0, tout le monde voit 1... et une partie de 2 ???
En effet, curieusement, certaines rubriques 2 demandent l’identification (sauf si on passe par 1 pour y accéder)
Déconnexion utilisée dans l’espace public :
http://monsite/spip.php?action=logout&logout=public&url=.%2F
Si qqun a une idée...
(spip 2.1.26+ AR 3.3.5)
Bonsoir,
J’ai eu (et j’ai toujours) le même comportement que le tien. Si j’utilise le define proposé, plus aucune rubrique n’est restreinte. Ce qui est très problématique...
Si quelqu’un a une idée du pourquoi ?
Bonjour,
je constate également qu’avec l’option :
define(’AR_TYPE_RESTRICTION’,’faible’) ;
les rubriques restreintes ne le sont pas pour les visiteurs non connectés, mais le sont pour les connectés.
spip 3.0.17 - Accès Restreint 3.8.13
Bon visiblement, ce pluging considère qu’un ensemble ne peut être qu’indépendant ou inclut dans un autre, l’intersection n’est pas prise en charge et bloque tout.
seule solution très très sale trouvée.
Au lieu d’une zone par groupe, multiplier les zones :
Zone 1 pour les rubriques visibles par le groupe A et non (B ou C)
Zone 2 pour les rubriques visibles par le groupe B et non (A ou C)
Zone 3 pour les rubriques visibles par le groupe C et non (A ou B)
Zone 4 pour les rubriques visibles par le groupe B et A et non par C
Etc...
puis Dispatcher les utilisateurs de ces groupes dans les diverses zones.
Ex : pour voir les rubriques communes à A et B, un utilisateur du groupe A devra être mis dans la zone 1 et dans la zone 4
je vous laisse imaginer le foutoir pour gérer un utilisateur ayant accès à des rubriques communes entre A, B et C et la sécurité qu’il en résulte.
Enfin les utilisateurs (visiteurs) ont une énorme tare :
ils n’ont logiquement pas accès à l’espace privé et rien n’est prévu pour qu’ils puissent mettre à jour leurs coordonnées personnelles dans la partie publique de SPIP (mdp, mail...). Les seules solutions trouvées sur les forums sont de faire appel à l’administrateur (confidentialité !) ou de faire déclarer le mdp perdu à la connexion (non testé).
donc penser à ce léger détail lors de la création d’un site.
Répondre à ce message
Bonjour et merci pour ce plugin très utile.
Je cherche à réserver l’accès à l’annuaire des auteurs en page d’accueil, aux seuls inscrits.
Mon site tourne avec Escal V3.
Auriez-vous une suggestion ?
Merci d’avance
Répondre à ce message
Ajouter un commentaire
Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :
Merci d’avance pour les personnes qui vous aideront !
Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.
Suivre les commentaires :
|
