Gestion des sessions et authentification

Apprenez à gérer les sessions PHP, créer un système d'authentification sécurisé et mettre en place une gestion des droits utilisateurs.

← Module précédent Accueil Module suivant →

Sessions PHP, cookies et sécurité

Les sessions PHP permettent de stocker des informations spécifiques à un utilisateur sur plusieurs pages. Contrairement aux cookies, les données de session sont stockées sur le serveur, ce qui améliore la sécurité.

Comprendre les sessions PHP

Une session crée un identifiant unique (PHPSESSID) qui est envoyé au navigateur de l'utilisateur sous forme de cookie. Cet identifiant permet au serveur de retrouver les données stockées pour cet utilisateur spécifique.

  • Cycle de vie : Une session démarre avec session_start() et se termine quand le navigateur est fermé ou après expiration définie dans la configuration PHP.
  • Stockage des données : Par défaut, les données sont sauvegardées dans des fichiers temporaires sur le serveur (dans le dossier défini par session.save_path).
  • Alternative aux cookies : Dans les environnements où les cookies sont désactivés, les sessions peuvent utiliser l'URL pour transmettre l'identifiant de session (non recommandé pour des raisons de sécurité).

Fonctionnement des sessions PHP

Démarrer une session
// À placer au tout début du script, avant tout autre output
session_start();

// Stocker des données dans la session
$_SESSION['user_id'] = 123;
$_SESSION['username'] = 'jean_dupont';
$_SESSION['is_admin'] = false;

Important : session_start() doit être appelé avant tout affichage HTML ou espace blanc, sinon une erreur "headers already sent" peut se produire.

Détails techniques

  • La fonction session_start() génère ou récupère l'identifiant de session existant
  • PHP crée automatiquement la superglobale $_SESSION qui agit comme un tableau associatif
  • Les données stockées dans $_SESSION sont automatiquement sérialisées pour le stockage côté serveur
  • Vous pouvez stocker différents types de données : nombres, chaînes, booléens et même des tableaux ou objets (attention à la sérialisation des objets complexes)
Accéder aux données de session
// Récupérer une valeur de session
if (isset($_SESSION['username'])) {
    echo "Bonjour, {$_SESSION[;
}

// Vérifier si l'utilisateur est connecté
if (isset($_SESSION[// Utilisateur connecté
} else {
    // Utilisateur non connecté
    header('Location: login.php');
    exit;
}

Bonnes pratiques pour accéder aux données de session

  • Vérification préalable : Toujours utiliser isset() pour vérifier l'existence d'une clé avant d'y accéder
  • Redirection sécurisée : Appeler exit après header('Location: ...') pour arrêter l'exécution du script
  • Protection des routes : Intégrer la vérification de session dans un système de middleware pour protéger les routes qui nécessitent une connexion
  • Utilisation des types stricts : Caster les valeurs au besoin car toutes les données de session sont sérialisées puis désérialisées

Les opérateurs de coalescence null peuvent simplifier la récupération de données de session avec des valeurs par défaut : $username = $_SESSION['username'] ?? 'Invité';

Destruction de session et déconnexion

Déconnexion d'un utilisateur
// logout.php
session_start();

// Effacer toutes les variables de session
$_SESSION = [];

// Récupérer les paramètres de session
$params = session_get_cookie_params();

// Supprimer le cookie de session
setcookie(
    session_name(),
    '',
    time() - 42000,
    $params['path'],
    $params['domain'],
    $params['secure'],
    $params['httponly']
);

// Détruire la session
session_destroy();

// Rediriger vers la page d'accueil
header('Location: index.php');
exit;

Cette méthode complète permet d'assurer une déconnexion sécurisée en :

  1. Vidant les données de session
  2. Supprimant le cookie de session
  3. Détruisant la session côté serveur

Pourquoi cette approche en trois étapes ?

  • $_SESSION = [] : Efface immédiatement les données en mémoire pour l'exécution actuelle
  • setcookie(session_name(), '', ...) : Force le navigateur à supprimer le cookie PHPSESSID, empêchant sa réutilisation
  • session_destroy() : Supprime le fichier de session physique sur le serveur, mais n'affecte pas la variable superglobale $_SESSION
Astuce de sécurité

Pour renforcer encore cette déconnexion, considérez l'ajout d'un jeton de session unique dans la base de données qui est vérifié à chaque requête et invalidé lors de la déconnexion. Cela permet de déconnecter immédiatement un utilisateur sur tous ses appareils.

Configuration et sécurité des sessions

Paramètres de sécurité des sessions 
// Configurer les sessions avant de les démarrer
ini_set('session.use_only_cookies', 1); // Forcer l'utilisation de cookies
                    

                        
Cette méthode complète permet d'assurer une déconnexion sécurisée en :

                        
    
                            
  1. Vidant les données de session
    2. 
                            
  2. Supprimant le cookie de session
    3. 
                            
  3. Détruisant la session côté serveur
    4. 
                        


                        
Pourquoi cette approche en trois étapes ?

                        
    
                            
  • $_SESSION = [] : Efface immédiatement les données en mémoire pour l'exécution actuelle
    • 
                            
  • setcookie(session_name(), '', ...) : Force le navigateur à supprimer le cookie PHPSESSID, empêchant sa réutilisation
    • 
                            
  • session_destroy() : Supprime le fichier de session physique sur le serveur, mais n'affecte pas la variable superglobale $_SESSION
    • 
                        


                        

                            Astuce de sécurité
                            
Pour renforcer encore cette déconnexion, considérez l'ajout d'un jeton de session unique dans la base de données qui est vérifié à chaque requête et invalidé lors de la déconnexion. Cela permet de déconnecter immédiatement un utilisateur sur tous ses appareils.

Configuration et sécurité des sessions

Paramètres de sécurité des sessions 
// Configurer les sessions avant de les démarrer
ini_set('session.use_only_cookies', 1); // Forcer l'utilisation de cookies
ini_set('session.use_strict_mode', 1); // Accepter uniquement les IDs valides

$sessionParams = [
    'lifetime' => 3600,     // Durée de vie du cookie en secondes
    'path'     => '/',      // Chemin sur le domaine où le cookie sera disponible
    'domain'   => '',       // Domaine du cookie (vide = domaine actuel)
    'secure'   => true,    // Cookie uniquement via HTTPS
    'httponly' => true,    // Cookie inaccessible en JavaScript
    'samesite' => 'Lax'     // Protection contre les attaques CSRF
];

session_set_cookie_params($sessionParams);
session_start();

Explication des paramètres de sécurité

Paramètre Description Impact sécurité
session.use_only_cookies Force l'utilisation exclusive des cookies pour l'ID de session Empêche les attaques par injection d'ID de session dans l'URL
session.use_strict_mode Accepte uniquement les IDs générés par le serveur Empêche la fixation de session par des ID arbitraires
secure Cookie envoyé uniquement via HTTPS Prévient l'interception de l'ID sur un réseau non sécurisé
httponly Cookie inaccessible via JavaScript Protège contre les attaques XSS ciblant les cookies
samesite Contrôle l'envoi du cookie lors de requêtes cross-origin Protège contre les attaques CSRF
Menaces courantes et contre-mesures
  • Fixation de session : Régénérer l'ID de session à la connexion avec session_regenerate_id(true)
  • Vol de session : Utiliser les flags httpOnly, secure et SameSite pour les cookies
  • CSRF (Cross-Site Request Forgery) : Générer et vérifier des tokens CSRF pour les formulaires
  • Expiration : Définir une durée de vie raisonnable pour les sessions et cookies

Cookies en PHP

Différence entre Cookies et Sessions
Aspect Cookies Sessions
Stockage Stockés dans le navigateur du client Stockés sur le serveur
Sécurité Moins sécurisé (accessible au client) Plus sécurisé (seul l'ID est envoyé au client)
Durée de vie Peut persister longtemps (jours, mois) Généralement limitée à la session du navigateur
Taille Limitée (~4KB par domaine) Plus grande (limitée par la configuration serveur)
Cas d'usage Préférences, suivi à long terme Authentification, données temporaires
Créer un cookie
// Créer un cookie qui expire dans 30 jours
setcookie(
    'user_preference',       // Nom du cookie
    // Valeur
    [
        'expires'  => time() + 30 * 24 * 3600,  // 30 jours
        'path'     => '/',              // Disponible sur tout le site
        '',               // Domaine actuel
        'secure'   => true,            // HTTPS uniquement
        'httponly' => false,           // Accessible en JavaScript
        'samesite' => // Protection CSRF
    ]
);

Cette syntaxe d'options sous forme de tableau est disponible à partir de PHP 7.3. Pour les versions antérieures, utilisez les paramètres individuels de setcookie().

Explication des paramètres du cookie

  • expires : Date d'expiration du cookie (timestamp Unix). Si non défini ou 0, le cookie expire à la fin de la session.
  • path : Chemin sur le serveur où le cookie sera disponible. '/' signifie disponible sur tout le site.
  • domain : Domaine pour lequel le cookie est disponible. Vide signifie domaine actuel uniquement.
  • secure : Si true, le cookie est envoyé uniquement sur une connexion HTTPS sécurisée.
  • httponly : Si true, le cookie est inaccessible via JavaScript (protection XSS).
  • samesite : Contrôle l'envoi du cookie lors de requêtes cross-origin :
    • 'Strict' : Cookie envoyé uniquement pour les requêtes du même site.
    • 'Lax' : Cookie envoyé pour les navigations top-level et requêtes GET.
    • 'None' : Cookie envoyé pour toutes les requêtes (nécessite secure=true).
Important : setcookie() doit être appelé avant tout affichage HTML, comme session_start().
Lire et supprimer un cookie
// Lire un cookie
if (isset($_COOKIE['user_preference'])) {
    $theme = $_COOKIE['user_preference'];
    echo "Thème choisi : {$theme}";
}

// Supprimer un cookie (en le faisant expirer)
setcookie(
    '', 
    [
        time() - 3600,  // Passé
        '/'
    ]
);

Points importants sur la gestion des cookies

  1. Lecture : Les cookies sont disponibles dans la superglobale $_COOKIE sous forme de tableau associatif.
  2. Validation : Toujours vérifier l'existence du cookie avec isset() avant d'y accéder.
  3. Suppression : Pour supprimer un cookie, il faut le remplacer par un cookie vide avec une date d'expiration dans le passé.
  4. Paramètres identiques : Lors de la suppression, le path et le domain doivent être identiques à ceux utilisés lors de la création.
Astuce pratique

Pour déboguer les cookies, utilisez les outils de développement du navigateur (F12) puis allez dans l'onglet "Application" > "Cookies". Vous y verrez tous les cookies, leurs valeurs et propriétés.

Exemple d'utilisation sécurisée des cookies pour le consentement 
// Créer un cookie de consentement sécurisé
function setConsentCookie($consentements) {
    // Sérialiser les données dans un format sécurisé
    $data = json_encode($consentements);
    
    // Signer les données pour éviter les manipulations
    $signature = hash_hmac('sha256', $data, $_ENV['COOKIE_SECRET']);
    
    // Définir le cookie avec sa signature
    setcookie(
        $data . '.' . $signature,
        [
            time() + 365 * 24 * 3600,
            'path'     => 'secure'   => true,
            'httponly' => true,
            'samesite' => 
        
Création d'un système de connexion/déconnexion

        
Un système d'authentification sécurisé est essentiel pour toute application web qui nécessite des utilisateurs identifiés. Voici les composants clés :


        
Structure de la base de données

        

            
Table des utilisateurs

            

                
CREATE TABLE users (
    id INT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(50) NOT NULL UNIQUE,
    email VARCHAR(100) NOT NULL UNIQUE,
    password VARCHAR(255) NOT NULL,  -- Pour le hash
    role VARCHAR(20) NOT NULL DEFAULT 'user',
    is_active BOOLEAN NOT NULL DEFAULT TRUE,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
    last_login TIMESTAMP NULL,
    reset_token VARCHAR(100) NULL,
    reset_token_expires_at DATETIME NULL
);

                

                    
Cette structure inclut les champs nécessaires pour :

                    
    
                        
  • Informations d'identification (nom d'utilisateur, email, mot de passe)
    • 
                        
  • Gestion des rôles (role)
    • 
                        
  • Suivi de l'activité (is_active, created_at, last_login)
    • 
                        
  • Réinitialisation de mot de passe (reset_token, reset_token_expires_at)
    • 
                    

                

            

        

        
Inscription d'un utilisateur

        

            

                
Formulaire d'inscription

                

                    
<form method="post" action="register.php">
    <div class="form-group">
        <label for="username">Nom d'utilisateur :</label>
        <input type="text" id="username" name="username" required>
    </div>
    
    <div class="form-group">
        <label for="email">Email :</label>
        <input type="email" id="email" name="email" required>
    </div>
    
    <div class="form-group">
        <label for="password">Mot de passe :</label>
        <input type="password" id="password" name="password" required>
    </div>
    
    <div class="form-group">
        <label for="confirm_password">Confirmation :</label>
        <input type="password" id="confirm_password" name="confirm_password" required>
    </div>
    
    <button type="submit">S'inscrire</button>
</form>

                

            


            

                
Traitement de l'inscription

                

                    
// register.php
if ($_SERVER['POST') {
    // Récupérer et assainir les données
    $username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_SPECIAL_CHARS);
    $email = filter_input(INPUT_POST, 'email', FILTER_SANITIZE_EMAIL);
    $password = $_POST['password'] ?? '';
    $confirm = $_POST['confirm_password'] ?? '';
    
    // Validation
    $errors = [];
    
    if (empty($username) || strlen($username) < 3) {
        $errors[] = "Le nom d'utilisateur doit contenir au moins 3 caractères.";
    }
    
    if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
        $errors[] = "L'email n'est pas valide.";
    }
    
    if (strlen($password) < 8) {
        $errors[] = "Le mot de passe doit contenir au moins 8 caractères.";
    }
    
    if ($password !== $confirm) {
        $errors[] = "Les mots de passe ne correspondent pas.";
    }
    
    // Vérifier si l'utilisateur existe déjà
    if (count($errors) === 0) {
        $pdo = new PDO('mysql:host=localhost;dbname=myapp', 'user', 'password');
        
        $stmt = $pdo->prepare('SELECT COUNT(*) FROM users WHERE username = ? OR email = ?');
        $stmt->execute([$username, $email]);
        
        if ($stmt->fetchColumn() > 0) {
            $errors[] = "Ce nom d'utilisateur ou cet email est déjà utilisé.";
        }
    }
    
    // Si aucune erreur, insérer l'utilisateur
    if (count($errors) === 0) {
        // Hachage du mot de passe
        $passwordHash = password_hash($password, PASSWORD_DEFAULT);
        
        $stmt = $pdo->prepare('
            INSERT INTO users (username, email, password) 
            VALUES (?, ?, ?)
        ');
        
        if ($stmt->execute([$username, $email, $passwordHash])) {
            // Rediriger vers la page de connexion
            header('Location: login.php?registered=1');
            exit;
        } else {
            $errors[] = "Une erreur est survenue lors de l'inscription.";
        }
    }
    
    // Afficher les erreurs s'il y en a
    if (count($errors) > 0) {
        foreach ($errors as $error) {
            echo "<div class='error'>{$error}</div>";
        }
    }
}

                    

                        
Points clés de sécurité :

                        
    
                            
  • Validation et assainissement des entrées utilisateur
    • 
                            
  • Vérification des doublons (username/email)
    • 
                            
  • Hachage du mot de passe avec password_hash()
    • 
                        

                    

                

            

        

        
Connexion d'un utilisateur

        

            

                
Formulaire de connexion

                

                    
<form method="post" action="login.php">
    <div class="form-group">
        <label for="username">Identifiant (nom ou email) :</label>
        <input type="text" id="username" name="identifier" required>
    </div>
    
    <div class="form-group">
        <label for="password">Mot de passe :</label>
        <input type="password" id="password" name="password" required>
    </div>
    
    <div class="form-group">
        <label>
            <input type="checkbox" name="remember_me"> Se souvenir de moi
        </label>
    </div>
    
    <button type="submit">Se connecter</button>
</form>

<p><a href="forgot_password.php">Mot de passe oublié ?</a></p>

                

            


            

                
Traitement de la connexion

                

                    
// login.php
session_start();

// Rediriger si déjà connecté
if (isset($_SESSION['user_id'])) {
    header('Location: dashboard.php');
    exit;
}

if ($_SERVER['POST') {
    // Récupérer les données
    $identifier = trim($_POST['');
    $password = $_POST['password'] ?? '';
    $remember = isset($_POST['remember_me']);
    
    // Validation basique
    if (empty($identifier) || empty($password)) {
        $error = "Tous les champs sont obligatoires.";
    } else {
        // Connexion à la base de données
        $pdo = new PDO('mysql:host=localhost;dbname=myapp', 'user', 'password');
        
        // Chercher l'utilisateur par nom d'utilisateur ou email
        $stmt = $pdo->prepare('
            SELECT id, username, password, role, is_active 
            FROM users 
            WHERE (username = ? OR email = ?) AND is_active = 1
        ');
        $stmt->execute([$identifier, $identifier]);
        $user = $stmt->fetch(PDO::FETCH_ASSOC);
        
        // Vérifier si l'utilisateur existe et si le mot de passe est correct
        if ($user && password_verify($password, $user['password'])) {
            // Régénérer l'ID de session pour prévenir la fixation de session
            session_regenerate_id(true);
            
            // Stocker les informations dans la session
            $_SESSION['user_id'] = $user['id'];
            $_SESSION['username'] = $user['username'];
            $_SESSION['role'] = $user['role'];
            $_SESSION['last_activity'] = time();
            
            // Mettre à jour la date de dernière connexion
            $updateStmt = $pdo->prepare('UPDATE users SET last_login = NOW() WHERE id = ?');
            $updateStmt->execute([$user['id']]);
            
            // Si "Se souvenir de moi" est coché
            if ($remember) {
                // Générer un token unique
                $token = bin2hex(random_bytes(32));
                
                // Stocker le token en base de données
                $tokenStmt = $pdo->prepare('
                    INSERT INTO auth_tokens (user_id, token, expires_at) 
                    VALUES (?, ?, DATE_ADD(NOW(), INTERVAL 30 DAY))
                ');
                $tokenStmt->execute([$user['id'], password_hash($token, PASSWORD_DEFAULT)]);
                
                // Définir un cookie "remember me"
                setcookie(
                    'remember_token', 
                    $user['id'] . ':' . $token,
                    [
                        'expires' => time() + 30 * 24 * 3600, // 30 jours
                        'path' => '/',
                        'httponly' => true,
                        'secure' => true,
                        'samesite' => 'Lax'
                    ]
                );
            }
            
            // Rediriger vers le tableau de bord
            header('Location: dashboard.php');
            exit;
            
        } else {
            // Identifiants incorrects
            $error = "Identifiants incorrects ou compte désactivé.";
            
            // Attendre un peu pour contrer les attaques par force brute
            sleep(1);
        }
    }
}

                    

                        
Points clés de sécurité :

                        
    
                            
  • Vérification du mot de passe avec password_verify()
    • 
                            
  • Régénération de l'ID de session pour prévenir la fixation de session
    • 
                            
  • Stockage sécurisé du token "Se souvenir de moi"
    • 
                            
  • Protection contre les attaques par force brute avec sleep()
    • 
                        

                    

                

            

        


        
Protection contre les attaques CSRF

        

            
Génération et vérification de token CSRF

            

                
// Générer un token CSRF
function generateCsrfToken() {
    if (empty($_SESSION['csrf_token'])) {
        $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
    }
    return $_SESSION['csrf_token'];
}

// Vérifier un token CSRF
function verifyCsrfToken($token) {
    if (!isset($_SESSION['csrf_token']) || 
        !hash_equals($_SESSION['csrf_token'], $token)) {
        // Token invalide, rejeter la requête
        http_response_code(403);
        die('Action non autorisée');
    }
}

// Dans un formulaire
echo '<input type="hidden" name="csrf_token" value="' . generateCsrfToken() . '">';

// Lors du traitement du formulaire
verifyCsrfToken($_POST['csrf_token'] ?? '');

                

                    
Le token CSRF (Cross-Site Request Forgery) est une mesure de protection cruciale pour empêcher les attaques où un site malveillant pourrait forcer votre navigateur à effectuer des actions non autorisées sur un site où vous êtes authentifié.

Gestion des droits utilisateurs

La mise en place d'un système de gestion des droits (ou contrôle d'accès) permet de limiter ce que différents types d'utilisateurs peuvent faire dans votre application.

Modèle de contrôle d'accès basé sur les rôles (RBAC)

Structure de la base de données
-- Table des rôles
CREATE TABLE roles (
    id INT AUTO_INCREMENT PRIMARY KEY,
    name VARCHAR(50) NOT NULL UNIQUE,
    description VARCHAR(255)
);

-- Table des permissions
CREATE TABLE permissions (
    id INT AUTO_INCREMENT PRIMARY KEY,
    name VARCHAR(100) NOT NULL UNIQUE,
    description VARCHAR(255)
);

-- Table de liaison rôles-permissions (relation many-to-many)
CREATE TABLE role_permissions (
    role_id INT NOT NULL,
    permission_id INT NOT NULL,
    PRIMARY KEY (role_id, permission_id),
    FOREIGN KEY (role_id) REFERENCES roles(id) ON DELETE CASCADE,
    FOREIGN KEY (permission_id) REFERENCES permissions(id) ON DELETE CASCADE
);

-- Colonne role_id dans la table users
ALTER TABLE users ADD COLUMN role_id INT;
ALTER TABLE users ADD FOREIGN KEY (role_id) REFERENCES roles(id);
Vérification des permissions
class Authorization {
    private $pdo;
    
    public function __construct(PDO $pdo) {
        $this->pdo = $pdo;
    }
    
    // Vérifier si un utilisateur a une permission spécifique
    public function hasPermission($userId, $permissionName) {
        $stmt = $this->pdo->prepare('
            SELECT COUNT(*) FROM users u
            JOIN roles r ON u.role_id = r.id
            JOIN role_permissions rp ON r.id = rp.role_id
            JOIN permissions p ON rp.permission_id = p.id
            WHERE u.id = ? AND p.name = ?
        ');
        
        $stmt->execute([$userId, $permissionName]);
        return $stmt->fetchColumn() > 0;
    }
    
    // Récupérer toutes les permissions d'un utilisateur
    public function getUserPermissions($userId) {
        $stmt = $this->pdo->prepare('
            SELECT p.name FROM users u
            JOIN roles r ON u.role_id = r.id
            JOIN role_permissions rp ON r.id = rp.role_id
            JOIN permissions p ON rp.permission_id = p.id
            WHERE u.id = ?
        ');
        
        $stmt->execute([$userId]);
        return $stmt->fetchAll(PDO::FETCH_COLUMN);
    }
}

Mise en pratique du contrôle d'accès

Middleware pour vérifier les permissions
// auth_middleware.php
function requireLogin() {
    session_start();
    
    if (!isset($_SESSION['user_id'])) {
        // Sauvegarder l'URL demandée pour y revenir après la connexion
        $_SESSION['redirect_after_login'] = $_SERVER['REQUEST_URI'];
        header('Location: login.php');
        exit;
    }
    
    // Vérifier l'inactivité (par exemple, 30 minutes)
    if (isset($_SESSION[time() - $_SESSION[1800)) {
        // Session expirée, déconnecter l'utilisateur
        session_unset();
        session_destroy();
        header('Location: login.php?expired=1');
        exit;
    }
    
    // Mettre à jour l'horodatage de la dernière activité
    $_SESSION[time();
}

function requirePermission($permissionName) {
    requireLogin(); // S'assurer que l'utilisateur est connecté
    
    $userId = $_SESSION['user_id'];
    $pdo = new PDO('mysql:host=localhost;dbname=myapp', 'user', 'password');
    $auth = new Authorization($pdo);
    
    if (!$auth->hasPermission($userId, $permissionName)) {
        http_response_code(403);
        include('forbidden.php');
        exit;
    }
}
Utilisation dans une page d'administration
// admin_users.php
require_once 'auth_middleware.php';

// Vérifier que l'utilisateur a la permission de gérer les utilisateurs
requirePermission('manage_users');

// Le code ci-dessous ne s'exécute que si l'utilisateur a la permission
$pdo = new PDO('mysql:host=localhost;dbname=myapp', 'user', 'password');

// Récupérer tous les utilisateurs
$stmt = $pdo->query('SELECT id, username, email, role_id, is_active FROM users');
$users = $stmt->fetchAll(PDO::FETCH_ASSOC);

// Afficher la liste des utilisateurs
include 'header.php';

Cette approche permet de centraliser la logique de contrôle d'accès et de l'appliquer facilement à différentes parties de votre application.

Contrôle d'accès dans les vues et l'interface

Affichage conditionnel des éléments d'interface
// Dans un fichier de fonctions helper
function canUserAccess($permissionName) {
    if (!isset($_SESSION['user_id'])) {
        return false;
    }
    
    $pdo = new PDO('mysql:host=localhost;dbname=myapp', 'user', 'password');
    $auth = new Authorization($pdo);
    return $auth->hasPermission($_SESSION['user_id'], $permissionName);
}

// Dans une vue
if (canUserAccess('manage_users')) {
    echo '<a href="admin_users.php" class="admin-button">Gérer les utilisateurs</a>';
}

if (canUserAccess('view_reports')) {
    echo '<li><a href="reports.php">Rapports</a></li>';
}

En adaptant l'interface en fonction des permissions, vous créez une expérience utilisateur sur mesure et vous renforcez la sécurité de votre application.

Bonnes pratiques pour la gestion des droits
  1. Principe du moindre privilège : accordez uniquement les permissions minimales nécessaires
  2. Vérifications côté serveur : ne vous fiez jamais uniquement aux contrôles côté client
  3. Journalisation des accès : enregistrez les tentatives d'accès non autorisées
  4. Séparation des responsabilités : divisez les permissions pour limiter les risques
  5. Vérifications à plusieurs niveaux : validez les permissions à chaque étape critique
← Module précédent Accueil Module suivant →