Créer des groupes, limiter l’accès aux rubriques et aux articles...

Cette contrib permet :

• de créer des groupes d’auteurs : ces groupes peuvent êtres constitués d’utilisateurs, d’autres groupes (sous-groupes) ou de statuts (c’est à dire que tous les utilisateurs d’un statut donné appartiennent à ce groupe). Cette organisation génère elle-même d’autres contraintes techniques à gérer : ainsi il ne doit pas être possible d’inclure le groupe « pére » dans le groupe « fils » puisque celui-ci contient déja « fils » (sinon on risque la boucle infinie lors de la routine de contrôle d’accès).
• de limiter l’accès à certaines rubriques « rubriques restreintes » aux groupes créés : cette limitation d’accès peut s’appliquer soit dans la partie publique ET dans la partie privée, soit à l’une ou l’autre de ces parties séparément.
• d’offrir des outils pour la création de squelettes adaptés à l’utilisation de rubriques restreintes.

Les rubriques « à accès restreint » sont gérées automatiquement : dès qu’au moins un groupe est autorisé à accéder à une rubrique (on pourrait dire qu’il contrôle cette rubrique), cette dernière devient alors à « accès restreint » et elle est inaccessible pour les lecteurs n’appartenant pas à ce groupe. Inversement, si aucun groupe ne « contrôle » une rubrique, elle est accessible par tous les internautes.

Le fonctionnement du système de restriction d’accès est conçu de manière à ce que toutes les sous-rubriques d’une rubrique à accès restreint soient elles aussi restreintes (principe « d’héritage des restrictions »).

Un exemple de situation à gérer :

Pour mieux cerner le fonctionnement, voici le cahier des charges auquel cette contrib tente de répondre [1] :

-  un SPIP est installé sur le site d’un établissement scolaire (disons un lycée) pour permettre la publication de contenus élaborés par les profs et/ou les élèves.
-  Ce SPIP comprend une rubrique par discipline (Anglais, Lettres, SVT...), tous les profs d’une discipline sont administrateurs de la rubrique de leur discipline afin qu’il puissent gérer/modérer les publications des élèves dans celle-ci.
Tous les élèves sont rédacteurs dans ce SPIP, les parents peuvent avoir un compte visiteur [2].
-  On souhaite que les profs d’une discipline puissent, s’ils le veulent, créer des sous-rubriques à accès réservé selon leurs besoins. Par exemple une sous-rubrique « travail en cours » dans laquelle ils pourront mettre au point ensemble les sujets de leurs prochains devoirs ou les corrections de ceux-ci. Il semble évident qu’il ne faut PAS que les élèves (comptes auteurs) aient un accès à cette sous-rubrique que ce soit dans la partie publique ou la partie privée !
-  On veut également qu’il soit possible d’avoir des rubriques à accès réservé uniquement aux profs (comptes admins restreints) pour qu’ils puissent publier des infos qui ne concernent pas les élèves (documents administratif, comptes-rendus de réunions syndicales, préparation de projets pluridisciplinaires...).
-  Il doit également être possible d’avoir des rubriques dans lesquelles les profs peuvent préparer des documents (par exemple les comptes-rendus des conseils de classe) qui seront accessibles une fois publiés (donc accès non-restreint dans la partie publique) mais confidentiels tant qu’ils sont en mode « en cours de rédaction » ou « proposé à l’évaluation » (donc accès restreint dans la partie privée).
-  Il faudra aussi une rubrique dont l’accès est réservé à tous les utilisateurs inscrits dans l’établissement (profs = admins restreints + élèves = auteurs + parents = visiteurs) dans laquelle on mettra, par exemple, les emplois du temps qui ne seront donc pas visibles par les « extérieurs » à l’établissement.
-  Enfin, il doit également être possible de créer des rubriques réservées :
— aux élèves d’une classe (un groupe « classe »),
— à plusieurs élèves et quelques profs, par ex le groupe « club informatique »
— aux profs de 2 ou 3 disciplines (par ex« profs de sciences », cad les profs de SVT + Physique/Chimie + Maths). On obtient donc un groupe de groupes
— à tous les élèves d’une classe
— ...
-  Avec comme circonstance aggravante que les admins généraux doient pouvoir « s’inviter » dans n’importe quel groupe pour consulter le contenu des rubriques à accès réservé.

Toute ces situations sont testables sur le spip de démo suivant : http://www.aix-mrs.iufm.fr/formatio...
 : choisir un compte ELEVExx pour un compte auteur ou PROFyy pour un compte administrateur de rubrique.

Fonctionnement obtenu lorsque l’on intègre cette contrib :

• pour les auteurs : pas de modification par rapport au fonctionnement « normal » de SPIP, toutes les rubriques restreintes (et les articles qu’elles contiennent) sont refusées à l’accès dans la partie publique comme dans la partie privée sauf s’ils sont membres d’un groupe autorisé (ou d’un sous-groupe d’un groupe autorisé, pas de limitation au nombre de sous-groupes imbriqués).
• pour les administrateurs de rubriques (« admin restreint ») :

  

  idem les auteurs SAUF pour les rubriques dont ils sont administrateurs. Pour ces rubriques, ils ont un accès dans la partie publique et la partie privée MEME s’ils n’appartiennent pas à un groupe autorisé à l’accès. Il paraissait en effet logique qu’un admin de rubrique ait forcément accès aux rubriques dont il à la gestion.
  Il peut également créer des groupes (ou utiliser des groupes existants) pour limiter l’accès aux rubriques qu’il administre et à leurs sous-rubriques. Il ne peut modifier que les groupes et sous-groupes qu’il a créé.

• pour les administrateurs généraux (« admin général »), idem les auteurs mais ils peuvent accéder au gestionnaire de groupes pour modifier n’importe quel groupe et donc s’ajouter aux utilisateurs autorisés. Un admin général peut ainsi visiter/modérer une rubrique à accès restreint MAIS il deviendra alors visible dans la liste des utilisateurs autorisés, ce qui permet au « propriétaire » d’une rubrique restreinte (admin restreint) de savoir que l’admin général s’est « invité » dans sa rubrique.

Concernant l’intégration des statuts dans un groupe :

l’idée est la suivante : TOUS les utilisateurs du statut sélectionné sont membres du groupe. Cela implique qu’ils ont donc TOUS accès aux rubriques réservés à ce groupe.

Par exemple si l’admin choisit de faire un groupe « tous les admins restreints » dans lequel il intègre le statut « Administrateurs » et qu’il donne l’accès à ce groupe pour la rubrique « le coin des admins », on aura comme résultat que tous les admins restreints du SPIP peuvent accéder à cette rubrique mais que ni les visiteurs ni les auteurs ne pourront la visiter. Mais si l’administrateur le souhaite, il peut également intégrer l’auteur Toto dans ce groupe afin de lui permettre d’accéder aussi à cette rubrique.

L’interface de gestion :

-  Pour rendre les chose plus faciles à apréhender (l’imbrication groupes/sous-groupe peut devenir complexe, les restrictions des rubriques multiples...), l’interface de gestion des groupes (accesgroupes_admin.php3) intègre :
— l’affichage de la liste des groupes et des rubriques qu’ils contrôlent
— l’arborescence des groupes/sous-groupes.

-  [v0.7] Chaque groupe peut être configuré pour permettre aux utilisateurs n’ayant pas le droit d’accès à une rubrique

d’envoyer un message au propriétaire du groupe demandant leur intégration dans celui-ci. Ce paramètre permet d’envoyer un formulaire de demande d’inscription dans le groupe lorsque l’utilisateur ne peut accéder à une rubrique. Ce message sera consultable dans la messagerie de l’interface privée, il comporte un lien direct vers l’interface de gestion du groupe concerné. Les auteurs en attente d’intégration sont listés dans cette interface et peuvent être intégrés ou rejetés en un clic.

-  [v0.7] Chaque rubrique à accès restreint peut être configurée pour que la restriction porte soit

sur la partie privée, soit sur la partie publique, soit sur les 2 (privé + public. Il est possible (pour un admin général) de configurer une restriction d’accès sur une sous-rubrique d’une rubrique elle-même déja restreinte. Néanmoins, le principe « d’héritage des restrictions » d’une rubrique sur ses sous-rubriques impose les règles suivantes :
— rubrique parent restreinte « privé + public » => sous-rubrique restreinte obligatoirement « privé + public »
— rubrique parent restreinte « privé » uniquement => sous-rubrique restreinte « privé » ou « privé + public »
— rubrique parent restreinte « public » uniquement => sous-rubrique restreinte « public » ou « privé + public »

-  Administrateurs restreints : les administrateurs de rubriques ne peuvent modifier QUE les groupes qu’ils ont eux-même créés (= propriétaires). Cela permet de rester cohérent avec le fonctionnement de l’administration des rubriques : ils ne peuvent interdire l’accès qu’a l’intérieur de leurs rubriques. Ils peuvent utiliser des groupes créés par d’autres admins mais ne peuvent les modifier.

Outils à disposition pour les squelettes : [v0.7]

Vous pouvez utiliser les « outils » suivants pour gérer l’affichage des rubriques/articles/brèves restreints dans vos squelettes :

-  [v0.7]Cette contrib fonctionne en définissant une boucle [*ACCESGROUPES*] pour gérer les parties à ne pas afficher dans la partie publique.

Syntaxe générale de cette boucle :

... ici le début de votre squelette : les parties visibles même si l'accès est interdit (en-tête, menu de navigation...)

<!-- A partir d'ici on vérifie les accès en fct des groupes -->
<BOUCLE_ca(ACCESGROUPES)></BOUCLE_ca>
     <INCLURE(page.php3){fond=accesgroupes_interdit} {delais=0} {id_rubrique}>
</B_ca>

... ici la partie de votre squelette qui doit être protégée : contenu de la rubrique, de l'article...

<!-- fin contrôle d'accès -->
<//B_ca>

... ici la fin de votre squelette : partie visible quelque soit l'accès (pied de page...)

Le fichier accesgroupe_interdit.html est donc affiché si l’accès est interdit pour l’internaute qui consulte la page. Il contient le formulaire de demande d’intégration au groupe qui contrôle la rubrique si celui-ci l’autorise. Vous pouvez « customiser » son affichage si nécessaire (partie située après la ligne « //envoi de la page accès interdit » )

-  [v0.7] le filtre * utilisable sur les #BALISEs des boucles ARTICLES, RUBRIQUES ou BREVES, il permet d’ajouter une icone (par défaut cadenas-24.gif) devant la balise si l’élément fait partie d’une rubrique à accès restreint.

Syntaxe de base de ce filtre (exemple sur une balise #TITRE, le paramètre #ID_RUBRIQUE est obligatoire !) :

[(#TITRE|accesgroupes_visualise{#ID_RUBRIQUE})]

Si l’image (cadenas) utilisée ne vous plait pas, ce filtre vous offre la possibilité de choisir un autre fichier image (qui DOIT être placé dans /ecrire/img_pack) en passant le nom de ce fichier en second paramètre du filtre. Exemple pour utiliser le fichier croix-rouge.gif sur une balise #TITRE :

[(#TITRE|accesgroupes_visualise{#ID_RUBRIQUE, croix-rouge.gif})]

-  [v0.7] le critère de boucle [* accesgroupes_invisible *] : ce critère est applicable sur les boucles ARTICLES, RUBRIQUES ou BREVES et permet de rendre invisible les rubriques, articles et brèves auxquels le lecteur n’est pas autorisé. Cela permet d’éviter que les utilisateurs qui n’ont pas accès à un contenu sachent qu’il existe tout en laissant ces contenus visibles pour les utilisateurs autorisés. Ce critère est spécialement utile pour les boucles du menu des rubriques ou le plan du site.

Syntaxe : (exemple sur une boucle RUBRIQUES de plan.html) :

<BOUCLE_rubriques(RUBRIQUES) {id_parent} {par titre} {accesgroupes_invisible}>

Remarque : les rubriques contrôlées par des groupes autorisant les inscriptions par formulaire (paramètre « Autoriser les inscriptions » à OUI) resteront visibles !

Vous trouverez des exemples d’utilisation de ces 2 outils dans le fichier squelettes/plan.html du zip de cette contrib.

Ce que ne fait pas cette contrib

en plus du café... Etant en version beta, et nécessitant encore des tests sur d’autres SPIP, nous ne garantissons pas une sécurité à toute épreuve.
Mais pour l’instant, nous n’avons pas trouvé de faille... si ce n’est le cache de spip... : il est donc utile de vider le cache de votre SPIP si vous déclarez « à accès restreint » une rubrique contenant déja des articles.

Comment installer cette contrib :

Remarque : si vous disposez déja de la version 0.6, les instructions d’installation ci-dessous sont également valides, la mise à jour des tables de la base de données est intégré sous forme d’un « patch » qui sera lancé automatiquement lorsque vous consulterez ecrire/accesgroupes_admin.php3 pour la première fois. Vos groupes existants et les rubriques qu’ils contrôlent seront récupérés à l’identique.

Téléchargez l’archive .zip ci-dessous de la dernière version, décompressez la dans un coin de votre ordi. Vous obtiendrez une arborescence de dossiers correspondant à ceux de votre SPIP à partir desquels vous devrez faire les opérations suivantes.

1) Pour l’interface d’administration des groupes et rubriques restreintes :

Transférer :

a. accesgroupes_admin.php3 et inc_config_accesgroupes.php3 dans le répertoire ecrire/

b. accesgroupes_fr.php3 et accesgroupes_en.php3 dans le répertoire ecrire/lang/

c. les icônes de /img_pack dans /ecrire/img_pack

Cette contrib intègre un installateur automatique pour les 3 tables de la base de données : il suffit de se connecter sur ecrire/accesgroupes_admin.php3 et les tables sont créées si elles n’existaient pas. Leur nom est de la forme : prefixeSPIP_accesgroupes_xxx.

Vous pouvez accéder au gestionnaire de groupe et d’accès restreints en l’appelant depuis votre navigateur http://www.monsitespip.org/ecrire/accesgroupes_admin.php3 ou créer une annonce, un message et faire le lien dans le texte du message :

[ACCES GROUPES->accesgroupes_admin.php3]

Alternativement (si vous ne craignez pas de modifier les fichiers de l’espace privé de SPIP et que vous souhaitez disposer d’une icone dans la barre d’outils), vous pouvez ajouter la ligne suivante

icone_bandeau_principal (_T('accesgroupes:groupes'), "accesgroupes_admin.php3", "groupe-48.png", "groupes", $rubrique, "", "groupes", $sous_rubrique);

juste après

	icone_bandeau_principal (_T('icone_auteurs'), "auteurs.php3", "redacteurs-48.png", "auteurs", $rubrique, "", "redacteurs", $sous_rubrique);

dans le fichier ecrire/inc_presentation.php3 (aux alentours de la ligne 2074 pour une version 1.8.3)

2) Pour la protection des accès dans la partie publique

a. Ajouter dans le fichier ecrire/mes_options.php3, le contenu du fichier mes_options_accesgroupes.php3 (vous pouvez bien sûr également utiliser un include).
Si le fichier mes_options.php3, n’existe pas dans le répertoire ecrire/, renommez mes_options_accesgroupes.php3 en mes_options.php3 et transférez le dans /ecrire.

b. Ajouter la boucle suivante dans vos pages de squelette rubrique, article, breve au début de la zone à ne pas afficher (juste après <div class=« contenu » id=« principal »> pour le squelette par défaut) :

<BOUCLE_ca(ACCESGROUPES)></BOUCLE_ca>
	<INCLURE(page.php3){fond=accesgroupes_interdit} {delais=0} {id_rubrique}>
</B_ca>

et en fin de zone à protéger (si vous utilisez le squelette par défaut, pour article.html et breve.html juste avant <body> , pour rubrique.html juste avant <div> <body>) :

<//B_ca>

c. Ajoutez dans votre dossier de squelette le fichier /squelettes/accesgroupes_interdit.html.

Remarque : si vous utilisez un spip « dist » (sans modifications), vous trouverez dans le dossier /squelettes du zip les pages article.html, rubrique.html et breve.html du squelette par défaut de SPIP 1.8.3 modifiées pour intégrer cette contrib. Dans ce cas vous pouvez directement transférer le dossier /squelettes du .zip dans le répertoire racine de votre SPIP.

d. Ajoutez aux fichiers article.php3, breve.php3 et rubrique.php3 de la racine de votre SPIP la ligne de code suivant qui permet de créer un fichier de cache suivant l’id de l’internaute

if (isset($GLOBALS['auteur_session'])){ $contexte_inclus['auteur_session_id']=$GLOBALS['auteur_session']['login']; }

Remarque : procédez de même pour tous les fichiers xxx.php3 correspondants aux fichiers xxx.html de votre squelette dans lesquels vous utilisez soit la boucle ACCESGROUPES, soit le filtre |accesgroupes_visualise soit le critère accesgroupes_invisible

3) La sécurisation de l’espace privé

Cette sécurisation passe par l’ajout d’une routine de vérification dans les fichiers suivants du répertoire /ecrire :

• naviguer.php3
• rubriques_edit.php3
• articles.php3
• articles_edit.php3
• breves_voir.php3
• breves_edit.php3

Cette vérification nécessite 2 fragments de codes : voici l’exemple pour naviguer.php3

 
// DEBUT ACCESGROUPES : à placer après fin_grand_cadre();

$acces = verif_acces($id_rubrique, 'prive'); 
if ($acces == 1 || $acces == 2) { 
    debut_gauche(); 
    debut_boite_info(); 
    echo "<div align='center'>\n"; 
    echo "<font face='Verdana,Arial,Sans,sans-serif' size='1'><b>"._T('info_numero_article')."</b></font>\n"; 
    echo "<br><font face='Verdana,Arial,Sans,sans-serif' size='6'><b>$id_article</b></font>\n"; 
    echo "</div>\n"; 
    fin_boite_info(); 
    debut_droite(); 
    debut_cadre_relief($ze_logo); 
    echo "\n<table cellpadding=2 cellspacing=0 border=0 width='100%'>"; 
    echo "<tr width='100%'> <td width='100%' valign='top' colspan='2'>"; 
    gros_titre($titre); 
    echo "</td> </tr> <td>".http_img_pack("warning.gif",'', "width='48' height='48'", _T('info_administrer_rubrique')); 
    echo "</td><td>"._T('accesgroupes:bloque_article')."</td></tr>"; 
    echo "</table>\n"; 
    fin_cadre_relief(); 
} else { 

// FIN de la premiere partie d'ACCESGROUPES 

// ACCESGROUPES : à placer avant fin_page(); 
} 
// FIN ACCESGROUPES

Si vous utilisez un spip version 1.8.3, vous pouvez tranférer ces fichiers depuis le dossier /ecrire du zip dans le dossier /ecrire de votre site en écrasant les fichiers existants.

Donc, en résumé, si vous utilisez une version 1.8.3 sans modifications (squelette par défaut), vous pouvez simplement transférer l’ensemble des fichiers fournis dans le zip dans les répertoires correspondant de votre site, renommer ecrire/a_placer_dans_mes_options.php3 en ecrire/mes_options.php3 et ça devrait fonctionner !

Ce qu’il reste à faire

• Compléter la traduction de accesgroupes_fr.php3 en anglais dans accesgroupes_en.php3 et créer d’autres fichiers de langue si vous avez besoin
• une icône « groupe » moins crasseuse pour la barre d’outils générale (je suis pas graphiste moi !)
• Passage en plugin pour la version 1.9 : on y travaille, ne vous impatientez pas...

Téléchargement de la contrib :

3

Version 0.7 : dernière version stable pour SPIP 1.83

3Archives :3