Catégorie : Web

Tout ce qui est lié au web dans sa globalité.

[PHP] Identification basique avec CakePHP 4.x

[PHP] Identification basique avec CakePHP 4.x

Si vous utilisez le framework CakePHP et que vous avez dû migrer vers la dernière version pour bénéficier de la compatibilité avec PHP 8.1, vous aurez probablement dû migrer votre système d’identification.

CakePHP : identification basique

Ce petit tutoriel se base sur la documentation officielle, en apportant quelques modifications si vous n’avez pas la même structure au niveau de votre table d’utilisateurs ou de vos contrôleurs.

Installation du plugin

Il faut tout d’abord installer le plugin fourni par CakePHP. Pour cela on utilise l’outil composer.

composer require "cakephp/authentication:^2.0"

Cette version est bien sûr compatible avec la version 4 du framework.

Chargement du plugin

Il faut maintenant éditer le fichier src/Application.php et y ajouter la méthode qui chargera le plugin.

Dans la méthode bootstrap(), après tous les éléments déjà chargés, ajoutez ce bout de code:

$this->addPlugin('Authentication');

Configuration du middleware

Le plugin va permettre de gérer facilement l’authentification d’un utilisateur, et va appliquer une stratégie de sécurité par défaut quelque soit l’action demandée.

Toujours dans le même fichier src/Application.php, ajoutez d’abord les imports nécessaires.

use Authentication\AuthenticationService;
use Authentication\AuthenticationServiceInterface;
use Authentication\AuthenticationServiceProviderInterface;
use Authentication\Identifier\IdentifierInterface;
use Authentication\Middleware\AuthenticationMiddleware;
use Cake\Http\MiddlewareQueue;
use Cake\Routing\Router;
use Psr\Http\Message\ServerRequestInterface;

Ensuite, ajoutez l’implémentation de l’interface:

class Application extends BaseApplication implements AuthenticationServiceProviderInterface

Puis modifiez la méthode middleware() et spécifiez la classe qui implémentera le middleware d’authentification. Dans ce cas, il s’agit de l’instance actuelle.

$middlewareQueue->add(new AuthenticationMiddleware($this));

Faites particulièrement attention à l’ordre : il doit être placé après BodyParserMiddleware et RoutingMiddleware.

Implémentation

Il faut ensuite ajouter la méthode getAuthenticationService(). Elle sera appelée à chaque fois qu’une requête est traitée.

public function getAuthenticationService(
    ServerRequestInterface $request
   ): AuthenticationServiceInterface
{
	$service = new AuthenticationService();

	// Automatic redirection when not authenticated
	$service->setConfig([
		'unauthenticatedRedirect' => Router::url([
			'prefix' => false,
			'plugin' => null,
			'controller' => 'Utilisateurs',
			'action' => 'login',
		]),
		'queryParam' => 'redirect',
	]);

	$fields = [
		IdentifierInterface::CREDENTIAL_USERNAME => 'nom',
		IdentifierInterface::CREDENTIAL_PASSWORD => 'password'
	];
	
	// Load the authenticators. Session should be first.
	$service->loadAuthenticator('Authentication.Session');
	$service->loadAuthenticator('Authentication.Form', [
		'fields' => $fields,
		'loginUrl' => Router::url([
			'prefix' => false,
			'plugin' => null,
			'controller' => 'Utilisateurs',
			'action' => 'login',
		]),
	]);
	
	$service->loadIdentifier('Authentication.Password', [
	  'resolver' => [
		'className' => 'Authentication.Orm',
		'userModel' => 'Utilisateurs',
	  ],
	  'fields' => [
		'username' => 'nom',
		'password' => 'password',
	  ],
	]);

	return $service;
}

Ce qu’on fait :

  • On définit avec setConfig() la stratégie à appliquer quand un utilisateur n’est pas connecté.
  • On spécifie les paramètres utilisés pour le formulaire d’identification.
  • On spécifie la liste des champs qui servent à identifier l’utilisateur.

Ici des modifications ont été apportées par rapport à l’exemple par défaut.

  • La classe du contrôleur qui gérera l’identification s’appelle UtilisateursController. Il faut donc spécifier « Utilisateurs » comme nom de contrôleur. CakePHP résoudra le nom complet lui-même.
  • Les champs de la table que l’on utilise sont le nom et password.
  • Notre table n’est pas appelée users mais utilisateurs. On le spécifie dans la clé resolver.

Charger le composant

Dans le contrôleur par défaut AppController.php (dont vos contrôleurs devront hériter), ajoutez l’appel suivant dans la méthode initialize().

$this->loadComponent('Authentication.Authentication');

L’erreur fréquente à ne pas reproduire: si vous écrivez une méthode initialize() dans un contrôleur enfant, n’oubliez pas d’appeler la méthode parent.

Désactiver l’authentification au cas par cas

Par défaut, toutes les actions nécessiteront une authentification. Mais vous pouvez modifier ce comportement en ajoutant l’événement beforeFilter() à chaque contrôleur où vous souhaitez que cela s’applique.

public function beforeFilter(EventInterface $event)
{
    $this->Authentication->allowUnauthenticated([
        'register', 'login', 'logout'
    ]);
}

On appelle la méthode allowUnauthenticated() de l’objet d’authentification, et on lui spécifie un tableau d’actions. Dans notre cas on autorise notamment login puisque c’est la méthode qui permet de gérer la requête d’auhentification.

Traiter la requête d’identification

Lorsqu’on valide le formulaire d’identification, voici l’action exécutée. La méthode est ajoutée au sein du contrôleur UtilisateursController.

public function login()
{
	if ($this->request->is('post')) 
	{
		$user = $this->Authentication->getResult();
		if ($user->isValid()) 
		{
			$target = $this->Authentication
				->getLoginRedirect() ?? '/';
			return $this->redirect($target);
		}
		
		$this->Flash->error(__("Bad user or password"));
	}
}

La méthode isValid() confirme si l’authentification s’est bien déroulée. Si c’est le cas on redirige l’utilisateur vers l’URL qu’on récupère à l’aide de getLoginRedirect(), et si celle-ci n’existe pas on redirigera vers la route « / ».

Dans le template associé, voici le code qui génère le formulaire:

<div class="users form">
<?= $this->Form->create() ?>
    <fieldset class="subfield">
        <legend><?= __("Saisissez vos identifiants") ?></legend>
        <?= $this->Form->control('nom',
                    ['label'=>'Identifiant']) ?>
        <?= $this->Form->control('password',
                    ['label'=>'Mot de passe']) ?>
  
<?= $this->Form->button(__('Connexion')); ?>
  </fieldset>
<?= $this->Form->end() ?>
</div>

Attention à bien respecter le nom des champs définis dans la configuration du middleware. Ils correspondent également aux champs définis dans le modèle.

Traiter la requête de déconnexion

Toujours dans le même contrôleur, on peut ajouter une action logout().

public function logout()
{
	$this->Authentication->logout();
	return $this->redirect([
		'controller' => 'Utilisateurs', 'action' => 'login'
	]);
}

La session de l’utilisateur est invalidée automatiquement.

Sources

[PHP] Mémo – Créer une commande avec Laravel

[PHP] Mémo – Créer une commande avec Laravel

Laravel fournit une interface en ligne de commande qui permet d’exécuter des scripts PHP directement depuis un terminal. Celle-ci s’appelle Artisan. On peut ainsi facilement gérer des tâches comme l’envoi de mails, la copie de fichiers, ou effectuer des interactions en base de données.

Créer une commande avec Laravel

Créer la classe

Votre commande sera implémentée à l’aide d’une classe. Si ce n’est pas encore fait, créez le dossier Commands dans app\Console.

Ensuite créez une classe qui héritera de Command.

<?php

namespace App\Console\Commands;

use Illuminate\Console\Command;

class MyTestCommand extends Command
{
    /**
     * The name and signature of the console command.
     *
     * @var string
     */
    protected $signature = 'my:test';

    /**
     * The console command description.
     *
     * @var string
     */
    protected $description = 'Command description';

    /**
     * Create a new command instance.
     *
     * @return void
     */
    public function __construct()
    {
        parent::__construct();
    }

    /**
     * Execute the console command.
     *
     * @return mixed
     */
    public function handle()
    {
    }
}

Voici ce qu’on retrouve dans la classe :

  • La signature de la commande (nom de la commande, arguments, options) ;
  • La description de la commande (un texte qui indique ce que fait la commande) ;
  • Un constructeur par défaut ;
  • Une méthode handle() qui contient la logique de la commande.

Enregistrer la commande

Il faudra enregistrer la commande en l’ajoutant au tableau défini dans la classe app\Console\Kernel.php.

    protected $commands = [
        MyTestCommand::class,
    ];

Dans les versions plus récentes de Laravel, toute classe qui se trouve dans le sous-dossier Commands, est chargée par défaut, du moins si on n’a pas enlevé l’appel qui se charge de cela.

Personnaliser la commande

On peut personnaliser la commande en y ajoutant des arguments et des options. On ajoute ceux-ci dans la signature.

Pour l’appel de la commande dans un terminal, préfixez chaque option par deux tirets courts. On n’ajoute rien de spécifique lorsqu’on spécifie un argument.

Exemple :

php artisan my:test argument1 --option1

Et dans la signature cela se traduit par :

protected $signature = 'my:test {argument1} {--option1}';

Pour récupérer :

  • Un argument : $this->argument(‘arg_name’);
  • Une option : $this->option(‘option_name’);

Exemple :

$this->option("option1");

Ceci renverra true si on spécifie l’option lors de l’appel de la commande, sinon false.

Évidemment on peut modifier la signature pour accepter des valeurs alphanumériques dans l’option. Dans ce cas, on doit adapter la signature en indiquant plutôt {option1=}.

On aura un appel similaire à ceci :

php artisan my:test argument1 --option1=TEST

Afficher des messages dans le terminal

Il existe deux méthodes que vous pouvez utiliser pour afficher une information ou une erreur.

  • $this->info(‘texte’);
  • $this->error(‘texte’);

Documentation

[Java] Trucs et astuces pour Websphere et Eclipse

[Java] Trucs et astuces pour Websphere et Eclipse

Si vous utilisez l’IDE Eclipse au quotidien et le serveur IBM Websphere dans sa version 9 ou plus, voici quelques petits trucs et astuces pour vous aider dans vos tâches de développement.

Trucs et astuces pour Websphere et Eclipse

Désactiver l’auto-publish

Lorsqu’on se trouve dans Eclipse, et qu’on effectue un build du projet, l’action de publication – ou publish – du projet est réalisée automatiquement et ce même en mode debug du serveur de test. Cependant on peut modifier ce comportement grâce à l’astuce suivante.

  • Rendez-vous dans l’onglet Servers.
  • Double-cliquez sur le serveur WebSphere Application Server vX.Y.
  • Déroulez la catégorie Publishing.
  • Cochez l’option Never publish automatically.
  • Dans la barre d’outils de l’IDE, cliquez sur le bouton Enregistrer.

Lancer en mode debug

Ce mode du serveur est particulièrement utile afin que les modifications des actions et JSP soient immédiatement prises en compte. Et ce sans effectuer l’action de publication.

  • Rendez-vous dans l’onglet Servers.
  • Effectuez un clic droit sur votre serveur WebSphere.
  • Choisir Debug / Restart in Debug.

Publication d’applications en erreur

Par défaut il est impossible de publier une application avec du code en erreur.

Pour résoudre cela:

  • Dans Eclipse, allez dans le menu Window > Preferences.
  • Recherchez le bon paramètre avec le mot clé « Websphere ».
  • Déroulez la catégorie Server, sélectionner Websphere Application Server.
  • Cochez « Allow applications containing errors to be published on a server« .
  • Sauvegardez.

Supprimer la compilation des JSP

Quels sont les symptômes ? Par exemple, si vous renommez une classe de Tag Java, la JSP référencera l’ancien nom même après un publish. Ou encore, certains éléments de la page (ex : une variable statique) ont une valeur différente de celle définie dans le code.

Dès lors, si vous avez vidé le cache du navigateur et que cela persiste, c’est peut-être dû au cache de compilation des JSP géré par Websphere.

Sur votre PC ouvrez le répertoire des fichiers temporaires de votre serveur.

\WebSphere\AppServer_v9.0\profiles\AppSrv01\temp\TestNode01\server1

Supprimez le contenu du dossier. Lors du prochain rafraichissement des pages concernées par le problème, vous devriez obtenir le résultat escompté.

Supprimer les fichiers temporaires

De manière générale, lorsqu’on rencontre un problème avec Websphere, on peut nettoyer les fichiers temporaires générés dans les dossiers suivants. Il est préférable d’arrêter le serveur pour effectuer l’opération.

\WebSphere\AppServer_v9.0\profiles\AppSrv01\temp\TestNode01\server1
\WebSphere\AppServer_v9.0\profiles\AppSrv01\temp\wscache
\WebSphere\AppServer_v9.0\profiles\AppSrv01\wstemp


Ressources

[Sécurité] Découverte d’une faille de sécurité critique dans Spring

[Sécurité] Découverte d’une faille de sécurité critique dans Spring

Comme nous le rapporte le magazine Programmez! VMWare signale la présence d’une faille de sécurité critique dans son produit Spring, permettant l’exécution de code à distance (RCE). Cela touche les versions de Spring Framework 5.2.0 à 5.2.19 et 5.3.0 à 5.3.17, ainsi que des versions plus anciennes. Reprise sous l’identifiant CVE-2022-22965 et baptisée Spring4Shell, cette faille ne peut être exploitée que si certaines conditions sont réunies.

Faille de sécurité Spring

En effet, sont vulnérables des applications Spring MVC ou WebFlux, tournant sur une JDK 9 (ou supérieur) sur un serveur Tomcat, et qui ne sont pas déployées en tant qu’exécutables Spring Boot (mais bien sous la forme d’archives WAR). Dans sa note, VMWare met toutefois en garde que la faille pourrait être exploitée par d’autres moyens.

VMWare recommande de mettre à jour au plus vite vos applications avec une version plus récente de Spring Framework. S’il n’est pas possible pour vous de changer de version, des solutions de contournement sont proposées dans une publication sur le blog de Spring.

Sources

[Dossier] Le format WebP sur WordPress

[Dossier] Le format WebP sur WordPress

Suite à la lecture d’un article du site Cachem, je suis passé au format d’images WebP sur mes deux blogs WordPress. Ce format existe depuis 2010 et est désormais plutôt bien supporté par les navigateurs récents. Quant à Internet Explorer, il est tout simplement incapable d’afficher ces images. L’un des avantages du WebP est qu’on réduit significativement la taille des images, ce qui permet de les charger plus rapidement.

Pour effectuer une transition sans accroc je suis passé par l’extension WebP Express. Celle-ci est très complète et permet notamment de décider quel format d’image afficher en fonction du navigateur. Elle convertit également les images lors de l’upload. Cependant, sa prise en main n’est pas forcément aisée, déjà parce qu’elle n’est pas traduite en français, mais aussi parce qu’elle propose énormément de paramètres.

Réglages

Depuis l’administration de WordPress, rendez vous dans Réglages puis WebP Express.

Mode de fonctionnement

Dans mon cas, j’ai choisi la méthode « Varied image responses » qui me permettra de fournir la bonne image en fonction du navigateur. Comme je n’utilise pas de CDN, et comme je n’ai pas voulu me prendre la tête avec trop d’options à configurer, c’est ce qui semblait être le meilleur choix.

Général

Depuis cette catégorie, il faudra tout d’abord indiquer la portée (paramètre Scope). L’extension peut gérer les thèmes. Dans mon cas j’ai préféré m’en tenir aux images Le seque j’envoie via la médiathèque de WordPress (paramètre « Uploads only« ).

Le second paramètre à définir concerne les types de fichiers sur lesquels l’extension doit travailler. Autant voir grand et choisir à la fois PNG et JPG.

Ensuite il faut déterminer où les images seront stockées. Le mode « Mingled » indique que les images se trouvent dans le même dossier, côte-à-côte. Le paramètre suivant, « File extension« , indique si on utilise le nom du fichier suffixé par « .webp » ou s’il faut utiliser le nom complet et l’extension originale en y rajoutant « .webp ». Par facilité j’ai choisi « Set to .webp » pour avoir des noms d’image parfaitement identiques.

Enfin les options suivantes importent peu. Je les ai donc laissées par défaut. Je n’ai pas défini la politique de cache (celle-ci est gérée par une autre extension sur mon blog).

Règles du fichier .htaccess

L’extension vous propose d’activer les deux premiers modes, mais dans le cas où il resterait des images non converties sur votre blog, la première suffira (à savoir « Enable direct redirection to existing converted images« ).

Si vous n’avez pas l’extension Apache mod_header activée sur votre hébergement, cela pourrait ne pas fonctionner correctement.

Conversion

L’extension propose des paramètres pour gérer la qualité de la conversion des images. Il est même possible de modifier l’ordre des méthodes de conversion en fonction de ce qui est disponible sur votre hébergement.

Dans mon cas j’ai également coché la case « Convert on upload » pour activer la conversion à partir de l’outil d’upload de WordPress. Attention que cela a un impact sur les performances d’envoi, en fonction des miniatures à générer.

Altérer le code HTML

La dernière option permet de modifier le contenu de la page pour l’affichage des images en WebP. L’auteur recommande d’activer l’option en plus de la redirection via .htaccess.

Pour maximiser la compatibilité avec de vieux navigateurs, j’ai coché l’option « Replace image URLs » ainsi que « Only do the replacements in webp enabled browsers« .

Le dernier paramètre modifie le comportement de l’extension lors de la modification du code. La première option, « Use content filtering hooks« , est recommandée d’après la bulle d’aide affichée.

Conclusion

L’extension offre de multiples possibilités pour convertir et gérer vos images au format WebP pour votre site WordPress. Si vous avez des commentaires ou si vous connaissez bien WebP Express, n’hésitez pas à donner vos astuces de configuration pour en améliorer le comportement.