Je vous fais part d’un comportement particulier sur SCENARIsuite-starter (testé dans une version docker).
Scenario de test
Sous Firefox 134, en consultation, lorsque l’on passe d’un répertoire/arborescence de ressources accessible sans authentification vers un répertoire nécessitant une authentification, une mire d’authentification apparaît.
On s’authentifie et on accède à la sous-arborescence désirée.
Si maintenant on se déconnecte, on revient à une mire d’authentification.
Cependant, en réalité, on reste connecté et authentifié. Il suffit de faire retour arrière dans le navigateur (alt + flèche de gauche) ou de forcer (par copier-coller) le chargement de l’url de la ressource que l’on souhaite (par exemple : celle censée être protégée et accessible que sous authentification) pour s’y rendre sans avoir à se ré-authentifier (pourtant on vient de se déconnecter).
Autrement dit,
côté serveur : si on clique sur la porte/flèche en haut à droite, le jeton d’authentification reste actif (ou le cookie de session, je ne sais pas quel est précisément le mécanisme)
côté client, y compris si on ferme l’onglet (le reste du navigateur reste ouvert) et que l’on ouvre un nouvel onglet sur l’url protégée… le navigateur reconnaît l’utilisateur qui venait de s’authentifier et de quitter (cookie ou jeton côté client) et ouvre la ressource.
Cas concret : si je me connecte avec un compte avec des droits supérieurs et que je me déconnecte de Scenari sans pour autant fermer le navigateur, la personne qui passe juste après sur le poste de travail ré-ouvre l’onglet et se retrouve avec tous mes privilèges.
Sur des ordinateurs allumés en permanence (salle de formation, salle de réunion), on passe facilement la main/parole à un autre auditeur sans forcément fermer complètement le navigateur (notamment si une visio tourne en parallèle dans un autre onglet du navigateur).
Test complémentaire (à vérifier) : je n’ai pas testé si ce « passe-muraille » se constate sur la partie édition, auquel cas une déconnexion ne déconnecte pas vraiment pour un compte avec des privilèges supérieurs s’avérerait problématique…
Je n’ai pas testé sur les autres solutions serveurs.
Je me connecte dans un navigateur à l’ihm d’édition (/&). Je passe un dossier du depot en accès authentifié en associant le role Aucun aux Utilisateurs non authentifiés. J’y diffuse une ressource.
Dans un autre navigateur, je tente d’accéder à cette ressource. Je suis redirigé vers l’ihm de login
Je me connecte et accède à la ressource.
Je charge l’ihm d’édition (/&) et je me déconnecte
Je fais un retour arrière dans le navigateur
J’ai bien la page visible comme vous l’indiquez, seulement la page est intégralement chargée depuis le cache du navigateur. Si je fais un F5 ou si je clic sur un lien de la page, ou si j’entre l’URL au lieu d’utiliser la fonction retour du navigateur, j’arrive bien sur l’ihm d’authentification.
Le comportement me semble plutôt correcte (je ne suis pas certain qu’on peut forcer le navigateur à ne pas charger la page en cache quand le retour arrière est utilisé).
Ok, effectivement, je reproduis exactement le scénario que tu présentes et cela m’a permis de mieux comprendre ; ce n’est pas tout à fait le scénario que j’ai présenté.
Scénario
L’utilisateur est en consultation de publications sans authentification.
Pour consulter le répertoire « autres (accès réservé » l’utilisateur doit s’authentifier :
soit en cliquant sur le répertoire « autres (accès réservé) »
soit en cliquant sur le bouton en haut à droite « se connecter » :
Et une fois authentifié (sans /&, l’utilisateur ne bascule pas en édition, il reste dans les écrans de consultation) :
il n’y a pas de bouton « se déconnecter ». C’est le même bouton « se connecter » qui, lorsque l’on clique dessus affiche de nouveau une mire d’authentification (dans mes applications, lorsque s’affiche la mire d’authentification c’est justement que l’on n’est pas ou plus authentifié…
or ici l’utilisateur n’est toujours pas déconnecté et c’est exactement là, en faisant un retour arrière (sans passer par /&) que l’on revient bien vers une page affichée complètement bien que cette dernière soit soumise à une authentification
Ma compréhension : contrairement au scénario passant par le mode édition de contenu (/&),
lorsque l’utilisateur reste en consultation des contenus
et qu’un des répertoires nécessite une authentification (et que l’utilisateur s’authentifie) alors l’utilisateur n’est jamais déconnecté.
Il y a 3 niveaux de problème :
confusion l’IHM (le bouton avec un icône et une flèche peut être compris comme se déconnecter, ce serait une flèche plutôt entrant dans la porte pour se connecter
et effectivement l’icône « flèche sortant du cadre » pour indiquer une déconnexion
d’où ma confusion/réflexe de cliquer dessus croyant me déconnecter
),
pas de changement/switch entre un bouton « se connecter » et « se déconnecter » en regard de l’état utilisateur authentifié/pas-authentifié
fonctionnel (afficher une mire d’authentification ne signifie pas ici que l’utilisateur est déconnecté)
et si le problème persiste, alors probablement un problème de cache client/navigateur ou serveur.
A mon sens, on ne devrait pas avoir besoin de passer par le mode édition (/&) pour se déconnecter du mode consultation des publications.
à noter, j’ai une erreur Javascript, et je ne sais pas si c’est lié
interne/:1 Mixed Content: The page at ‹ https://xxx/scsuitestr/interne/ › was loaded over HTTPS, but requested an insecure XMLHttpRequest endpoint ‹ http://xxx/scsuitestr/ ›. This request has been blocked; the content must be served over HTTPS.
Vu, merci pour les info très claires.
Il y a effectivement un bug sur le rendu de cette page de navigation entre dossiers. On regarde pour corriger ça.
Concernant l’erreur JS, j’ai créé un nouveau fil de discussion séparé
avec notamment la trace réseau et pile d’appels JS ; je ne suis pas très sûr qu’il s’agisse du favicon et je ne sais pas si l’erreur JS est mineure (je pense que c’est sans incidence).
L’erreur est corrigée. Le fix sera disponible dans la prochaine version de Suite Starter (il me semble qu’une mise à jour de maintenance va sortir dans les prochains jours).
