autoriser un utilisateur à modifier son mot de passe

Super_chemist · 07/06/2011 14:53:40

Bonjour à tous

Je viens de me rendre compte que seul les admins ont accès au module user. Ce qui est normal. Mais du coup, ils sont les seuls à pouvoir modifier les mot de passe...

Je vais avoir plusieurs "webmasters" sur mon site. J'aimerai bien qu'ils puissent modifier leur pass tout seuls, sans devoir me l'envoyer en clair par mail...
Mais si je leur autorise le module user, ils auront accès à tous les mots de passe... Ce que je ne veux pas.

Est-ce possible? Je n'ai pas trop le temps de creuser le php de zite+ pour l'instant, donc avant de me lancer là dedans, je demande si c'est envisageable...
Y a -t-il une variable du style $zite->user(password) que l'on peut modifier une fois connecté?

Merci

jpg · 07/06/2011 18:25:25

Super_chemist a écrit :

Bonjour à tous
Je viens de me rendre compte que seul les admins ont accès au module user. Ce qui est normal. Mais du coup, ils sont les seuls à pouvoir modifier les mot de passe...

On est d'accord

Super_chemist a écrit :

Je vais avoir plusieurs "webmasters" sur mon site. J'aimerai bien qu'ils puissent modifier leur pass tout seuls, sans devoir me l'envoyer en clair par mail...
Mais si je leur autorise le module user, ils auront accès à tous les mots de passe... Ce que je ne veux pas.

Ce serait affectivement anormal et dangereux qu'ils puissent modifier tous les mots de passes

Super_chemist a écrit :

Est-ce possible? Je n'ai pas trop le temps de creuser le php de zite+ pour l'instant, donc avant de me lancer là dedans, je demande si c'est envisageable...

Tout à fait envisageable et prévu ... mais peut-être pas sous cette forme.
Pour l'instant je penche plutôt pour généraliser la solution adopté dans le module user_auto.
L'utilisateur pourra demander un nouveau mot de passe généré automatiquement et aléatoirement.
L'expérience montre que si on laisse l'utilisateur choisir son mot de passe ... on aboutit souvent à des horreurs qui peuvent se trouver très rapidement.
Ou alors il faut une routine de vérification du nouveau mot de passe béton pour éliminer les mauvais mots de passes: je suis preneur si tu as

Super_chemist a écrit :

Y a -t-il une variable du style $zite->user(password) que l'on peut modifier une fois connecté?

Tu as une variable $this->user avec le mot de passe en md5 (actuellement) en $this->user [0]

a+
Jean-Paul

Super_chemist · 08/06/2011 00:07:38

Pour moi, il est nécessaire que l'utilisateur ait le contrôle de son mot de passe.
Je ne suis pas en train de coder le zite de la banque de france !
Après, si mes utilisateurs sont suffisament cons pour se faire voler leur pass ou choisir un truc bateau, c'est leur problème... On recharge une sauvegarde du site par FTP, et ils changent de mot de passe.
Education par l'erreur ! Au moins ils auront compris pourquoi.

Concernant la variable zite->user[0], si je la modifie dans un script, elle sera enregistrée automatiquement? Ca me surprend...
Il faut peut être appeler une fonction pour que le md5 soit écrit dans le fichier sur le serveur?

Merci pour ces réponses

jpg · 08/06/2011 10:14:15

Super_chemist a écrit :

Pour moi, il est nécessaire que l'utilisateur ait le contrôle de son mot de passe.
Je ne suis pas en train de coder le zite de la banque de france !
Après, si mes utilisateurs sont suffisament cons pour se faire voler leur pass ou choisir un truc bateau, c'est leur problème... On recharge une sauvegarde du site par FTP, et ils changent de mot de passe.
Education par l'erreur ! Au moins ils auront compris pourquoi.

Ce n'est pas ma philosophie
si on laisse l'utilisateur choisir son mot de passe, il faut au minimum s'assurer de la robustesse du mot de passe: pas de 11111, bateau, alain .... pas de mot du dictionnaire ...
Sinon c'est la porte ouverte à tous les problèmes

Super_chemist a écrit :

Concernant la variable zite->user[0], si je la modifie dans un script, elle sera enregistrée automatiquement? Ca me surprend...

Je n'ai pas dit ça ...

Super_chemist a écrit :

Il faut peut être appeler une fonction pour que le md5 soit écrit dans le fichier sur le serveur?
Merci pour ces réponses

L'utilisateur non administrateur ne pouvant pas choisir son mot de passe, il n'y a pas d'api toute prête à appeler: il va te falloir le coder.
Ce qui n'est pas compliqué ... si tu n'implémente aucune sécurité
il faut t'inspirer du code des modules user et/ou user_auto pour voir les valeurs à modifier et comment les enregistrer.

a+
Jean-Paul

Super_chemist · 08/06/2011 15:10:02

Ok merci

Je regarderai ça dans quelques jours à tête reposée.

A+
Adrien

Forum ZitePLUS

#1 07/06/2011 14:53:40

autoriser un utilisateur à modifier son mot de passe

#2 07/06/2011 18:25:25

Re : autoriser un utilisateur à modifier son mot de passe

#3 08/06/2011 00:07:38

Re : autoriser un utilisateur à modifier son mot de passe

#4 08/06/2011 10:14:15

Re : autoriser un utilisateur à modifier son mot de passe

#5 08/06/2011 15:10:02

Re : autoriser un utilisateur à modifier son mot de passe

Pied de page des forums