Programmer avec SPIP 3.0
Documentation technique sur SPIP 3.0

> > > > Les actions sécurisées

Les actions sécurisées

Les actions sécurisées sont un moyen d’être certain que l’action demandée provient bien de l’auteur qui a cliqué ou validé un formulaire.

La fonction autoriser() n’est pas suffisante pour cela. Par exemple, elle peut vérifier que tel type d’auteur (administrateur, rédacteur) a le droit d’effectuer telle genre d’action. Mais elle ne peut pas vérifier que telle action a effectivement été demandée par tel individu.

C’est en cela que les actions sécurisées interviennent. En fait, elles vont permettre de créer des URL, pour les liens ou pour les formulaires, qui transmettent une clé particulière. Cette clé est générée à partir de plusieurs informations : un nombre aléatoire regénéré à chaque connexion d’un auteur et stocké dans les données de l’auteur, l’identifiant de l’auteur, le nom de l’action et ses arguments.

Grâce à cette clé, lorsque l’auteur clique sur le lien où le formulaire, l’action appelée peut vérifier que c’est bien l’auteur actuellement connecté qui a demandé d’effectuer l’action (et pas un malicieux personnage à sa place !)