extbase Plugin: Login-Kontrolle / Userroles

**Marti51** · 24.07.2011, 09:17

Hallo zusammen,

ich bin gerade dabei meine erste Extension mit extbase/fluid für Typo3 zu schreiben (Alles Neuland für mich

). Soweit läuft es auch, was mir zur Zeit noch Kopfzerbrechen bereitet ist die Zugriffskontrolle. Nicht eingeloggten Benutzern soll das Plugin nicht zugänglich sein, evtl. soll auch innerhalb des Plugins zwischen Usern mit verschiedenen Rollen unterschieden werden. Meine Fragen also:

1. Wie kann ich, von der Typo3-"Hauptseite" unabhängig, einen solchen Login direkt in meinem Plugin realisieren ? Muss ich dabei auf tx_ext_Model_feusers (?) zurückgreifen oder kann das auch "einfacher" realisiert werden? Und wie kann ich dann durch alle Controller-Aufrufe hindurch sicherstellen, dass auch wirklich nur eingeloggte User Zugriff haben und nicht auch welche, die sich einfach die Parameter zum Controller-Aufruf in der URL zusammengabaut haben?

2. Wenn die "Typo3-Hauptseite" bereits ein Login-Formular hätte, würde es dann ausreichen (sicherheitstechnisch) die Seite, auf der das Plugin eingerichtet ist, als "protected page" einzurichten ? Oder kann / sollte ich dann trotzdem bei jedem Controller-Aufruf nochmal prüfen, ob ein User eingeloggt ist (und wo würde ich die entsprechenden Angaben in Typo3 beziehen? Session?)

3. Wenn ich innerhalb der Extension zwischen verschiedenen Typo3-User-Rollen unterscheiden möchte, dachte ich mir, ich mache das einfach über ein "<f:if hasRole>", dann müsste ich aber analog zu 1 auch wieder auf die feusers zugreifen, richtig?

Es geht nicht darum, an bestehenden Usern etwas zu ändern oder neue User zu erstellen, es geht rein um eine "Zugriffskontrolle" für schon bestehende User.

Ich hoffe ihr könnt mir ein bißchen weiterhelfen.

**BenKioo** · 01.08.2011, 15:48

Hi,

für mich ist das auch noch Neuland.

Es spricht nichts dagegen die TYPO3-Tools zu verwenden und die fe_user Tabelle zu nutzen oder?

Ich habs jetzt so gemacht, dass ich im Template aber auch in den Controllern überprüfe ob die User angemeldet sind und in einer bestimmten Gruppe stecken.

Für meinen Controller habe ich eine Funktion, welche ich bei jeder Action aufrufe:

PHP-Code:

     private function forwardIfNotLoggedIn() {
        $usergroup = explode(',', $GLOBALS['TSFE']->fe_user->user['usergroup']);
        if(!in_array($this->settings['produkt']['editorUsergroupUid'], $usergroup))
            $this->forward('list', 'Produkt');
    }

Im TypoScript lege ich fest welche Gruppen die Inhalte sehen dürfen:

PHP-Code:

 plugin.tx_recepto {
  settings {
      produkt.editorUsergroupUid = 2
  }
}

Wenn ein User jetzt auf eine Action zugreifen will, zum Beispiel via Link, wird innerhalb der Action als erstes mal die forwardIfNotLoggedIn() aufgerufen. Und wenn der User dann nicht die entsprechende Gruppe hat leite ich ihn zu einer anderen Action um.

Mit dem felogin Plugin habe ich die Anmeldemaske eingebunden. Mein Plugin wird dann aber auch nur ausgegeben, wenn sich jemand angemeldet hat. Also im Grunde kontrolliere ich hier doppelt. Ohne Anmeldung wird das Plugin erst gar nicht ausgegeben, kann also auch nicht über Links angesprochen werden.

Im Fluid Template habe ich dann auch nochmal ein
<f:security.ifHasRole role="{settings.produkt.editorUsergroupUid}">

Bei meiner Ext hat jeder Eintrag auch einen bestimmten Administrator.
Im Frontend kann jeder seine eigenen Beiträge administrieren. Dafür habe ich dann nochmal eigene Abfragen drin. Falls Dich das interessiert musste Bescheid sagen.