Giacomo Zanobini ha scritto:
>
>
> prima di determinate azioni, quando voglio sapere qual è l'utente
> collegato, fino ad oggi ho fatto così:
>
> _ tal:define="utente container/REQUEST/AUTHENTICATED_USER"_
>
>
> adesso mi chiedo, però se questo metodo è quello giusto ed se è
> sicuro, ovvero mi chiedo se sia possibile chiamare una pagina o uno
> script, passando un AUTHENTICATED_USER diverso da quello reale,
> ingannando il sistema. (per esempio spacciandomi per admin), magari
> senza neppure avere fatto il login.
>
> Mi posso fidare di questo semplice controllo?
Infatti si usa tal:define="utente user/getUserName" :)
le zpt in plone già espongono l'oggetto user:
http://plone.org/documentation/tutorial/zpt/tutorial-all-pages"user/getUserName: The authenticated user's login name."
in generale, puoi usare il security manager:
python:modules['AccessControl'].getSecurityManager().getUser().getUserName()
<form action="upload"
tal:condition="python:
modules['AccessControl'].*getSecurityManager*().checkPermission(
'Add / Documents, Images, and Files', context)">
...
</form>
etc etc
trovi tutto in
http://zope2.zope.org/ sullo zope2 book :)
http://docs.zope.org/zope2/zope2book/Security.html#performing-security-checks_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-ithttp://www.nabble.com/Plone---Italy-f21728.html
