Acces Restreint 3.0

Publié le : 11 décembre 2008 – Dernière modification le 1er mars 2023 – par Cerdic – 944 commentaires

1
2
3
4
5
175 votes
Le plugin accès restreint permet de définir et de gérer des zones de l’espace public en accès restreint. Cette version du plugin a été redévelopée et optimisée tout spécialement pour SPIP 2.0. Il en découle une amélioration des performances sur les gros sites.
L’interface a été remaniée pour une meilleure ergonomie, mais le fonctionnement des boucles et des squelettes reste identique à la version précedente du plugin

Utilité et fonctionnalités du plugin

Le plugin accès restreint vous permet de protéger et de restreindre l’accès à certaines rubriques uniquement aux visiteurs authentifiés et autorisés.

Si un visiteur n’est pas identifié ou s’il n’est pas autorisé, alors l’intégralité de la rubrique (ce qui inclut les sous-rubriques, les articles, les liens ...) ne sera pas visible par ce visiteur.

Si le visiteur est identifié, alors ce visiteur pourra accéder aux rubriques pour lesquelles il a reçu une autorisation d’accès.

Ainsi, ce plugin vous permet de masquer du contenu aux visiteurs non identifiés, et de créer des droits d’accès aux visiteurs identifiés.

Le plugin vous permet également de filtrer l’espace privé.

En résumé, le plugin Accès restreint permet de définir et de gérer des zones de l’espace public et de l’espace privé en accès restreint.
Chaque zone contient des rubriques, et les auteurs peuvent être associés à des zones pour avoir le droit d’y accéder.
Toutes les boucles natives de SPIP sont modifiées pour en filtrer les résultats en fonction des droits du visiteur.

I. Installation du plugin accès restreint

Le plugin s’installe comme tous les autres, en ajoutant le dossier dans plugins/ et en l’activant dans l’espace privé.


Attention : en activant ou en désactivant ce plugin, il faut penser à vider le cache de SPIP pour que les droits d’accès soient modifiés.
En particulier, en cas de désactivation, si le cache n’est pas vidé, des erreurs vont apparaître sur le site public. Ce n’est pas un bug, mais une sécurité, pour éviter une divulgation de contenu en cas de désactivation involontaire du plugin.

Le plugin pourrait gérer automatiquement le changement de cache lors de son activation/désactivation, mais dans ce cas, en cas de désactivation involontaire, le contenu protégé serait immédiatement visible, ce qui peut être considéré comme une faille de sécurité.

II. Définir les zones en accès restreint

Les étapes précédentes ont pour effet de faire apparaître un nouvel onglet dans Configuration / Accès restreint, avec une petite icone de cadenas : ecrire/ ?exec=acces_restreint

C’est cette page qui va vous permettre de gérer les zones d’accès restreint de votre site, créer de nouvelles zones ou modifier les zones existantes. Pour créer votre première zone, cliquez sur le raccourci Créer une nouvelle zone.

L’administrateur qui crée la zone peut s’octroyer immédiatement les droits d’accès. Seul un administrateur général du site peut créer, modifier ou supprimer une zone.

Renseignez le titre, le descriptif, la portée (publique et/ou privée) de la zone.
Par défaut, l’option « m’ajouter les droits d’accès à cette zone » est cochée car cela correspond à l’usage le plus fréquent.

Il faut ensuite définir les rubriques qui en font partie. Si on coche la racine du site, il n’y a plus aucun affichage sur l’espace public pour ceux qui ne sont pas identifiés. C’est pratique, par exemple, pour mettre un site en ligne pour les administrateurs et les auteurs sans qu’il soit visible pour le simple visiteur.

Les rubriques qui sont cochées sont explicitement restreintes. Si elles sont déplacées dans le site, elle le resteront. Les rubriques qui ne sont pas cochées mais dépendent d’une rubrique restreinte sont elles aussi restreintes, par héritage. Mais si elles sont déplacées dans l’arborescence dans une zone non restreinte elles seront visibles.

Il faut imaginer la restriction d’accès des rubriques comme une restriction d’accès dans un immeuble : lorsqu’il faut une autorisation pour franchir une porte, tout ce qui est derrière se retrouve en accès restreint.

Cliquez sur « Enregistrer » pour créer la zone. Vous revenez alors à la liste des zones, ou apparaît votre nouvelle zone :

Pour chaque zone, un résumé apparaît indiquant le titre et le descriptif de la zone, le nombre de rubriques restreintes, le nombre d’auteurs autorisés, et si la zone et publique et/ou privée.

Le pictogramme en haut à droite de la zone vous indique si vous avez personnellement accès à la zone. Dans le cas où vous n’avez pas accès, il indique un sens interdit sur fond rouge, et sinon une coche sur fond vert, comme ici.

III. Ajouter des auteurs à une zone

Depuis la zone

Vous pouvez maintenant ajouter d’autres auteurs à la zone qui auront le droit de voir son contenu.
Pour cela, cliquez sur modifier

Vous retrouvez le formulaire d’édition de la zone avec :

  • les rubriques concernées reperées visuellement par un fond coloré
  • la liste des auteurs autorisés dans la colonne de gauche

Vous pouvez cliquer sur « Ajouter des auteurs » pour visualiser la liste des auteurs du site, triés par nom et paginés :

Le picto « + » situé à droite de chaque auteur vous permet de l’ajouter à la liste des auteurs autorisés. La croix rouge située à droite de chaque auteur autorisé vous permet de le retirer de cette liste.

Vous pouvez ainsi administrer la liste des auteurs autorisés en la complétant comme par exemple ici :

Les mises à jour de la liste des auteurs autorisés sont appliquées immédiatement, sans qu’il soit nécessaire d’enregistrer la zone.

Lorsque vous avez fini, revenez à la liste des zones (par le bouton retour donc, ou le bouton enregistrer si vous avez fait d’autres modifications). Vous pouvez voir que le nombre d’auteurs a été mis à jour.

Depuis une fiche auteur

Vous pouvez aussi gérer les droits d’un auteur depuis sa page personelle dans l’interface privée :

Vous pouvez sélectionner une zone et cliquer sur « Ajouter » :

La liste des zones autorisées est alors mise à jour :

Le lien « Enlever de la zone » vous permet de retirer les droits d’accès à une zone pour cet auteur.

IV. Fonctionnement et boucles du plugin

Tout le fonctionnement des squelettes et des boucles est inchangé par rapport à la version précedente du plugin. On se reportera donc à la partie concernée de sa documentation.

V. Protéger les documents de SPIP

La protection des documents de SPIP associé aux articles protégés est une fonctionnalité souvent demandée.

Le plugin accès restreint permet cela, si votre hébergement remplit deux conditions :
-  qu’il accepte les fichiers .htaccess permettant de donner des directives au serveur
-  qu’il soit suffisamment bien dimensionné, car les accès aux images et documents du site vont tous générer un accès à la base de données (pour savoir si les documents concernés peuvent être vus), ce qui ralentit fortement le site.

Si vous êtes dans ces conditions, ou que vous voulez tout de même essayer (mais on vous aura prévenu), voici comment faire :

Allez sur la page d’accueil du plugin Accès Restreint en cliquant sur son icône dans le menu « Configuration »

Menu icone Accès Restreint

Vous arriverez sur cette page :

Page d’accueil du plugin Accès Restreint

Cliquez sur le raccourci « Configuration des accès .htaccess » :

Raccourcis « Configuration des accès .htaccess »

Vous arriverez sur cette page :

« Ne pas créer ces fichiers » coché par défaut

Il suffit de cocher « Interdire la lecture », dans le premier cadre « Accès aux documents joints par leur URL », et « Créer les fichiers .htpasswd » dans le second cadre.

Vider ensuite votre cache. Tous les urls vers des images et documents de SPIP seront alors remplacés par un url de la forme spip.php?action=acceder_document&file=xxx, qui provoquera la lecture de l’autorisation d’accès au document [1].

Si votre site devient très lent ou plante sans arrêt sur une erreur du type « Accès impossible à mySQL », alors votre hébergement n’est pas suffisant pour ce fonctionnement. Désactiver la fonction pour revenir à un fonctionnement normal.

En complément, si après la mise en place du fichier .htaccess certaines pages de l’interface privée vous sont inaccessibles et que vous obtenez des messages « Accès interdit », vous pouvez désactiver la vérification htaccess de l’interface privée, dans les options du site.

VI. Paramétrage plus fin des restrictions

AR_TYPE_RESTRICTION définit le type de restriction pour traiter les élements communs à plusieurs zones :

  • Une restriction exclusive (ou forte) donne l’acces aux rubriques restreintes par plusieurs zones aux seuls membres de toutes les zones concernées.
  • Une restriction faible donne acces à une rubrique, même restreinte par plusieurs zones, aux membres de chaque zone concernée.
  • Valeurs possibles :
    • faible,
    • forte ou exclusive (par défaut)

Autrement dit, si une rubrique 2 est enfant d’une rubrique 1, et qu’il existe une zone 1 (rubrique 1) et une zone 2 (rubrique 2) :

  • un auteur présent dans la zone 1 (uniquement) ne pourra pas voir la rubrique 2 lorsque la restriction est « forte ». Il le pourra avec une restriction « faible »
  • À l’inverse, un auteur présent uniquement dans la zone 2 ne pourra pas voir la rubrique 1 même si la restriction est « faible » car la parentée n’est pas concernée. Il faut (si souhaité) dans ce cas définir en plus AR_TYPE_RESTRICTION_PARENTEE à « faible » pour l’autoriser.

Exemple, dans config/mes_options.php :

# Pour qu'une rubrique placée dans une Zone puisse 
# être accédée en étant une sous rubrique d'une autre Zone
define('AR_TYPE_RESTRICTION','forte');
define('AR_TYPE_RESTRICTION_PARENTEE','faible');

AR_TOUJOURS_TOUT_VOIR est une constante qui, si elle est définie dans le fichier mes_options.php de votre site (ou le fichier d’options de votre plugin qui utilise acces_restreint) modifie le comportement des boucles afin qu’elles affichent tous les résultats, sans aucune restriction. Pour restreindre un affichage, le squelette doit donc tester à la main, par exemple avec le filtre accesrestreint_article_restreint.

Exemple :
-  dans mes_options :

define (AR_TOUJOURS_TOUT_VOIR, 1);


-  dans un fichier squelette :

<BOUCLE_a(ARTICLES)>
[(#ID_ARTICLE|accesrestreint_article_restreint|oui)  <INCLURE{fond=intro_article}{id_article}> ]
[(#ID_ARTICLE|accesrestreint_article_restreint|non) Pas accés à cette page]
</BOUCLE_a>

AR_RESTRICTION_LIENS_STRICTE (après 4.1.0) est une constante qui, si elle est définie dans le fichier mes_options.php de votre site (ou le fichier d’options de votre plugin qui utilise acces_restreint) permet de ne jamais autoriser l’accès à un document ou un forum lié à un objet en accès restreint.

Exemple :
-  dans mes_options :

define (AR_RESTRICTION_LIENS_STRICTE, 1);

Notes

[1A partir de la version 3.8 du plugin, les URLs des documents protégés sont soit sous la forme plus perenne /IMG/xxxxxx.xxx?nn/hash si les réécritures d’URLs sont possible sur votre hébergement, soit de la forme docrestreint.api/nn/hash/xxxxxxx.xxx

Avec SPIP 2.1 le plugin nécessite l’installation du plugin SPIP Bonux.

Discussion

5 ans 1 an 3 mois Sans limite
par date
Filtrer

476 discussions

  • rue Béjo

    Bonjour à tous,

    Je me permets de rebondir sur le commentaire de Pascal-JPM du 18/2 et de certains autres qui relatent des comportements analogues : dès l’instant où l’option « Accès aux documents joints par leur URL » est réglée sur «  Interdire la lecture », le filtre <docxx|largeur=150> ne fonctionne plus (l’image est renvoyée à sa taille initiale).

    Il en est de même si on a modifié les modèles de médias par défaut dans squelettes/modeles en utilisant les fonctions de redimensionnement.

    Par exemple, dans le modèle img.html, le filtre image_reduire{100}|extraire_attribut{src} devrait renvoyer l’emplacement de l’image redimensionnée. Avec l’interdiction de lecture directe activée, c’est l’emplacement du fichier d’origine qui est renvoyé.

    Les versions : Accès Restreint 3.8.13 et spip 3.0.17.

    Merci pour vos lumières,

    Bruno

    Répondre à ce message

  • 1
    Pascal Engelmajer

    Bonjour,
    lorsque je veux accéder à ce document : http://www.kanchanaburi-guide.com/IMG/jpg/songkran-2011-kanchanaburi_cle475137-1.jpg

    j’obtiens le message

    « Fichier api_docrestreint introuvable »

    Je ne comprends pas...

    erci
    Cordialement

    Plugins :
    API de vérification 1.0.5 - stable
    Articles d’accueil 1.1.1 - test
    Balise #POPUP 2.0.0 - stable
    Enluminures typographiques 3.4.3 - stable
    GIS 4.22.4 - stable
    Google Analytics 0.4.6 - stable
    Le Couteau Suisse 1.9.0 - stable
    Nombres de visiteurs connectés 0.2.1 - stable
    SPIP Bonux 3.0.6 - stable
    Saisies pour formulaires 1.40.7 - stable
    Social tags 1.0.4 - stable
    Squelette Einsteiniumist 1.0.2 - stable
    YAML 1.5.1 - stable
    Zen-Garden 2.5.3 - test
    Zpip-dist v1 1.7.26 - stable
    ciag : Groupes d’auteurs 1.13 - stable
    ciar : Accès restreints Giseh 1.7.0 - stable
    ciautoriser : Pipeline pour autoriser 1.3.0 - stable
    cimobile : détection et aiguillage des téléphones mobiles 1.2 - stable
    cirr : Rédacteurs restreints 1.11 - stable
    iTwX Mobile pour cimobile 3.3.1 - test
    _

    • Karen

      Bonjour,

      Je découvre ce plugin dont je connaissais l’existence mais pas l’utilisation jusqu’à aujourd’hui, et je me suis heurtée au même problème que vous Pascal : après désactivation du plugin, message « Fichier api_docrestreint introuvable » sur tous mes docs joints (pdfs), même après réactivation du plugin, et même sur les rubriques qui n’étaient pas en restriction.

      Je ne sais pas si la réponse est aussi simple pour vous, en tout cas, malgré l’avertissement en rouge sur ce tutoriel, la manip n’était pas si intuitive pour moi, j’ai tourné en rond quelques heures avant d’y arriver, et de reproduire les différentes opérations plusieurs fois pour vérification.

      Il semble qu’il reste des traces après désactivation, même en vidant le cache de SPIP. Je suis donc parvenue à récupérer l’accès aux documents en réactivant le plugin, en redonnant l’autorisation d’accéder aux documents, en supprimant les zones restreints (qui restent stockées dans la partie « publication » de l’espace privé. Ensuite je désactive l’accès restreint si je n’en veux plus, ou je redonne les règles qui m’intéressent, et je vide aussi le cache du navigateur (le cache de SPIP ne suffit pas quand il y a ce problème). Et là, ça fonctionne !

      J’ai refait les manips plusieurs fois pour vérification. Donnez votre retour, ça m’intéresse. Et si un expert a un avis plus éclairé, ça m’intéresse aussi !

      Bien cordialement,
      Karen

    Répondre à ce message

  • ploufplouf

    Bonjour,
    J’ai un accès restreint (v 3.8.12) sur un spip 3.0.16 pour un extranet. J’aurai voulu sécurisé les documents joints en interdisant la lecture en ligne et en forçant l’internaute à enregistrer le document sur son poste. Ceci afin de limité les documents consultables en ligne et également pour limiter les accès par url directe sur le document.
    Je pensais qu’en interdisant la lecture des documents dans les réglages du plugin était fait pour ça mais apparemment ça ne fonctionne pas car quand je suis déconnecté et que j’entre dans un autre navigateur l’adresse directe d’un doc (type : www.monsite.fr/IMG/PDF/mondoc.pdf) et bien mon doc s’affiche.

    Ai-je raté une étape ?
    Merci de votre aide.

    Ploufplouf

    Répondre à ce message

  • Natacha Courcelles

    Bonjour
    je travaille sur 2 versions sur une 3.5 et une v3.8.12

    je m’interroge car dans les 2 cas
    dans ull/generer_url_document.php

    si je remplace le meta creer_htaccess par accesrestreint_proteger_documents (meta créé)
    chouette l’url deviens docrestreint.api
    sinon je n’ai jamais cette url de sécurité

    //	if ($GLOBALS['meta']['creer_htaccess'])
	if ($GLOBALS['meta']['accesrestreint_proteger_documents'])

    merci d’avance
    Natacha

    Répondre à ce message

  • 1
    bcaron

    Bonjour !

    La config :
    Accès restreint 3.8.8
    Sarka-SPIP 3.3.51
    spip 3.0.16
    Installation complète from the scratch avec 1 rubrique et 1 article

    Le problème concerne l’affiche des icônes des documents des articles (test réalisé avec un article contenant un lien vers un pdf ajouté avec
    doc1|center
    -  spip + accès restreint : l’icône s’affiche correctement
    -  spip + sarka-SPIP : l’icône s’affiche correctement
    -  spip + sarka-SPIP + Accès restreint : l’icône ne s’affiche pas et le code généré est :
    img src=’’ width=’’ height=’’ alt=’PDF - 47.5 ko’
    donc sans l’image.

    La config :
    Accès restreint 3.8.8
    Sarka-SPIP 3.2.36
    spip 3.0.16
    Installation complète from the scratch
    spip + Sarkaspip + Accès restreint
    Aucun soucis, l’icône du document s’affiche correctement .

    Le problème n’apparait donc qu’avec la branche 3.3

    BC

    Répondre à ce message

  • 1
    Julien

    La balise URL_DOCUMENT fait planter spip

    Avec un SPIP 3.0.16, et un plugin Accès restreint à jour, les documents dans une zone protégée ne peuvent plus afficher la balise #URL_DOCUMENT : la page article devient blanche. Sans doute une grosse erreur PHP.

    Ceci UNIQUEMENT en cas d’utilisation de la fonction de protection des pièces jointes (si accès libre pas de problème).

    Une idée ?

    Merci de votre aide.

    Julien

    • Julien

      Je précise que le compte SPIP qui voit la page est un VISITEUR ayant les droits sur la bonne zone.

      Et pour un ADMINISTRATEUR ou REDACTEUR, aucun problème.

    Répondre à ce message

  • 1
    Jo Arb

    Bonjour
    Tout d’abord merci pour ce plugin qui correspond à l’essentiel de mes besoins ; cependant je rencontre le soucis suivant : je souhaite que des rédacteurs ’naient accés qu’à la rubrique agenda. J’y arrive sans probleme mais en accés restreint ils ont aussi accés au menu édition et activité ce qu leur donne la possibilité de voir la liste des auteurs et les inscrits aux envois e-mail.
    Y a t’il une solution pour interdire l’accés à ces listes ?
    Merci !

    • Jo Arb

      Suis je la seule à rencontrer ce soucis ????

    Répondre à ce message

  • Julien

    Bonjour,

    Peut-on paramétrer le plugin pour qu’il agisse que sur les « id_rubrique » et non les « id_article » Dans mes_options.php par exemple ?

    Je m’explique. J’inclus une même boucle dans mes squelettes « article.html » et « rubrique .html » qui donne ceci :

    <BOUCLE_articles(ARTICLES){id_article?}{id_rubrique?}{par titre, num titre}>
#MES_BALISES...
</BOUCLE_articles>

    Si je tomble sur un ARTICLES (lien permanent) j’aimerais pas restreindre. Et au contraire je tombe sur le résultat d’articles contenu dans une RUBRIQUE j’aimerais restreindre.

    Répondre à ce message

  • 1
    Pat

    Bonjour,
    J’ai installé la dernière version de Spip 3.0.16. mais il est impossible d’activer le plugin Accès Restreint 3.0
    il s’installe, quand je l’active , il semble que l’opération se déroule correctement mais je n’ai pas accès à la configuration.
    Est-ce que la version de Spip 3.0.16 est incompatible avec ce plugin ?
    Ai-je oublié quelque chose ?
    Merci d’avance pour vos idées
    Pat

    • Francky

      Désactive, voir désinstalle cfg, vide et cache, actualise la page dans ton navigateur et regarde si cela ne règle pas le problème :-)

    Répondre à ce message

  • obiwanriko

    Hier j’ai réalisé la mise à jour vers la dernière version et pan sur mes pages liés aux rubriques protégés j’ai :« Erreur SQL zbug_erreur_execution_page » Je vais essayé de revenir à l’ancienne version du plugin car un service aux citoyens est dépendant de cette fonction...

    Répondre à ce message

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom