Im Template überprüfen ob als Admin angemeldet

Jayster · 14.11.2017, 12:06

Ich würde gerne in einem Template überprüfen, ob der Seitenaufrufer parallel als Admin im Backend eingeloggt ist. Das brauche ich, da ich schnell ein JavaScript einbauen möchte, das nur dann drin ist, wenn man aktuell nicht als Admin eingeloggt ist. Ähnlich wie im Template "analytics_google.html5". Dort wird die Konstante BE_USER_LOGGED_IN verwendet. Ich muss allerdings zusätzlich noch wissen, ob der Nutzer ein Admin ist.

Es gibt dazu auch einen Eintrag in der Dokumentation: https://docs.contao.org/books/cookbo...epruefung.html

Ich habe es mit folgendem Code versucht, der aber leider nicht funktioniert:

PHP-Code:


objUser = \BackendUser::getInstance();

if (!isset($user) || !$user->isAdmin) {

    // ...

}

Eine Ausgabe mit zum Beispiel "var_dump(objUser->id);" gibt NULL zurück.

Es scheint, als würde es so nicht gehen. Gibt es eine Lösung dafür?

**Ling** · 14.11.2017, 16:53

Hm, im Zweifel könntest du dir ein eigenes Insert-Tag bauen und damit den Admin-Status prüfen. Hiermit dann https://docs.contao.org/books/cookbo...s-admin-status

**cliffparnitzky** · 14.11.2017, 19:30

Zitat von Jayster

...
Ich habe es mit folgendem Code versucht, der aber leider nicht funktioniert:

PHP-Code:


objUser = \BackendUser::getInstance();

if (!isset($user) || !$user->isAdmin) {

    // ...

}

...

Da fehlt das "$"-Zeichen bei der Variable und dann wird eine falsche Variable genutzt.
Müsste also eher so aussehen:

PHP-Code:


$objUser = \BackendUser::getInstance();

if (!isset($objUser) || !$objUser->isAdmin) {

    // ...

}

Um erstmal alles zu zeigen wäre dann ein "var_dump($objUser->id);" richtiger.

Jayster · 15.11.2017, 08:29

@cliffen: Danke für den Hinweis. Da sind mir beim kopieren bzw. neu hier reinschreiben ein paar Dollarzeichen verloren gegangen. Hier nun nochmal mein Code mit den Dollarzeichen:

PHP-Code:


<?php

$objUser = BackendUser::getInstance();



if ($objUser->isAdmin) {

    echo 'test';

}



var_dump($objUser->id);

?>

Es besteht leider immer noch das Problem: 'test' wird nicht ausgegeben und $objUser->id ist NULL.

@Ling: Danke für die Idee mit dem Inserttag. Falls es im Template nicht möglich ist, wäre das eine Alternative.

Ich finde es aber etwas merkwürdig, dass es im Template nicht mit dem Code von oben geht. Mir fällt eigentlich kein Grund ein, wieso nicht.

**Spooky** · 15.11.2017, 09:52

PHP-Code:


<?php



$objUser = \BackendUser::getInstance();

if (BE_USER_LOGGED_IN && $objUser->authenticate() && $objUser->isAdmin)

{

    // ...

}

Hintergrund warum zusätzlich BE_USER_LOGGED_IN verwendet wird: BackendUser::authenticate leitet automatisch auf die Login Seite vom Contao Backend weiter, wenn kein Backend User authentifiziert werden konnte. Daher muss man in der Bedingung vorher noch auf BE_USER_LOGGED_IN prüfen (welches true ist, wenn das entsprechende Backend Login Cookie gesetzt ist) um den Redirect zu verhindern, wenn kein Backend User angemeldet ist.

**Ling** · 15.11.2017, 09:57

Zitat von Jayster

Ich finde es aber etwas merkwürdig, dass es im Template nicht mit dem Code von oben geht. Mir fällt eigentlich kein Grund ein, wieso nicht.

Ich denke mal das die Klasse BackendUser im FE nicht ohne weiteres verfügbar ist.

**Spooky** · 15.11.2017, 10:01

Zitat von Ling

Ich denke mal das die Klasse BackendUser im FE nicht ohne weiteres verfügbar ist.

Alle Contao Klassen sind überall verfügbar.

Jayster · 15.11.2017, 10:48

@Spooky: Danke für den Hinweis.

Irgendwas scheint jedoch merkwürdig zu sein. Es funktioniert immer noch nicht. Nun habe ich mir zum Test mal einfach folgendes ausgeben lassen:

PHP-Code:


var_dump(BE_USER_LOGGED_IN);

Dabei kommt "false" heraus, obwohl ich im Contao Backend eingeloggt bin. Ich habe die gleiche Ausgabe auch im Google Analytics Template getestet ("analytics_google.html5"), da die Konstante dort auch verwendet wird. Dort wird ebenfalls "false" ausgegeben.

**Spooky** · 15.11.2017, 10:53

Bist du auch als Frontend User angemeldet?

Jayster · 15.11.2017, 11:44

Nein, nur als Backend Nutzer.

**Spooky** · 15.11.2017, 11:45

Verwendest du den Page Cache?

Jayster · 15.11.2017, 12:06

Auch das nicht. Ich habe gerade auch nochmal zur Sicherheit die Seite in der Seitenstruktur auf "nicht cachen" gestellt.

**Spooky** · 15.11.2017, 12:11

Verwendest du verschiedene Domains? Also bist du im Backend unter einer anderen Domain angemeldet, als du im Frontend testest?

Jayster · 15.11.2017, 13:35

Auch das nicht. Ich habe es in meiner lokalen Installation getestet, da habe ich im Startpunkt gar keine Domain eingetragen.

Hat mal jemand anders

PHP-Code:


var_dump(BE_USER_LOGGED_IN);

im Google Analytics Template getestet?

**Ling** · 15.11.2017, 15:11

Hab's mal bei mir lokal in ein Template eingebaut und bekomme auch "false" raus obwohl ich im BE als Admin angemeldet bin.

Jayster · 16.11.2017, 08:29

@Ling: Danke für das Testen.

Da scheint was nicht in Ordnung zu sein. Man kann im Frontend scheinbar nicht richtig auf den Backend Nutzer Zustand zugreifen.

**Spooky** · 16.11.2017, 10:58

Ticket: https://github.com/contao/core-bundle/issues/1193

**Spooky** · 16.11.2017, 11:01

Übrigens, Contao 3 oder 4?

Jayster · 16.11.2017, 15:37

Contao 3.

Jayster · 17.11.2017, 13:38

Aus den Kommentaren im Issue schließe ich, dass es nicht möglich ist, einfach im Template auf den Backend Nutzer zuzugreifen. Weder mit BE_USER_LOGGED_IN noch \BackendUser::getInstance().

**Spooky** · 17.11.2017, 13:40

Doch, mit

PHP-Code:


<?php



$objUser = \BackendUser::getInstance();

if ($objUser->authenticate() && $objUser->isAdmin)

{

    // ...

}

sollte es funktionieren. Nur leitet dich das auf die Contao Login Seite weiter, falls sich kein Backend Nutzer angemeldet hat. Daher musst du auch feststellen, ob ein gültiges Backend Login Cookie da ist. Das geht in Contao 4 leichter, da es dafür eine eigene Funktion gibt. In Contao 3 musst du es manuell machen (siehe zB das google_analytics Template).

Jayster · 17.11.2017, 14:09

Danke, so klappt es jetzt (fast):

PHP-Code:


if (sha1(session_id() . (!Config::get('disableIpCheck') ? Environment::get('ip') : '') . 'BE_USER_AUTH') == Input::cookie('BE_USER_AUTH')) {

    $objUser = \BackendUser::getInstance();

    if ($objUser->authenticate() && $objUser->isAdmin) {

      echo 'admin';

    }

}

Gibt allerdings noch Warnungen in dieser Form:

Code:

Warning: mysqli::real_escape_string(): Couldn't fetch mysqli in system\modules\core\library\Contao\Database\Mysqli\Statement.php on line 51
Warning: mysqli::query(): Couldn't fetch mysqli in system\modules\core\library\Contao\Database\Mysqli\Statement.php on line 81
Warning: Contao\Database\Mysqli\Statement::get_error(): Couldn't fetch mysqli in system\modules\core\library\Contao\Database\Mysqli\Statement.php on line 92

Und einen Fatal Error:

Code:

Fatal error: Uncaught Exception: Query error: (UPDATE tl_user SET session='' WHERE id='') in C:\websites\contao-3.5.17\system\modules\core\library\Contao\Database\Statement.php:295 Stack trace: #0 C:\websites\contao-3.5.17\system\modules\core\library\Contao\Database\Statement.php(264): Contao\Database\Statement->query() #1 C:\websites\contao-3.5.17\system\modules\core\classes\BackendUser.php(164): Contao\Database\Statement->execute('a:37:{s:7:"refe...', '1') #2 [internal function]: Contao\BackendUser->__destruct() #3 {main} thrown in C:\websites\contao-3.5.17\system\modules\core\library\Contao\Database\Statement.php on line 295

**Spooky** · 17.11.2017, 14:09

Wo setzt du diesen Code ein?

Jayster · 17.11.2017, 14:21

Ich hab mir unter "templates" (im Contao Root) ein Template "j_admin_test.html5" angelegt und binde dieses im Seitenlayout ein (es geht um Javascript Code, der nur ein eingebunden werden soll, wenn man nicht als Admin eingeloggt ist).

**Spooky** · 17.11.2017, 14:24

Hm.. ja komisch. Du könntest vor deinem Code noch ein

PHP-Code:


\Database::getInstance();

einfügen.

Jayster · 17.11.2017, 15:03

Das hat leider nicht geholfen.

**Spooky** · 17.11.2017, 15:07

Poste den kompletten Stack Trace des Fatal errors.

Jayster · 17.11.2017, 16:35

Meinst du das hier?

Code:

Fatal error: Uncaught Exception: Query error: (UPDATE tl_user SET session='' WHERE id='') in C:\websites\contao-3.5.17\system\modules\core\library\Contao\Database\Statement.php:295 Stack trace: #0 C:\websites\contao-3.5.17\system\modules\core\library\Contao\Database\Statement.php(264): Contao\Database\Statement->query() #1 C:\websites\contao-3.5.17\system\modules\core\classes\BackendUser.php(164): Contao\Database\Statement->execute('a:37:{s:7:"refe...', '1') #2 [internal function]: Contao\BackendUser->__destruct() #3 {main} thrown in C:\websites\contao-3.5.17\system\modules\core\library\Contao\Database\Statement.php on line 295

**Spooky** · 17.11.2017, 17:08

Hm, ja verstehe. Da die BackendUser Instance erst nach der Database Instance angelegt wird, wird die Database Instance destructed, before die BackendUser Instance destructed wird - was dann zu diesem Fehler führt.

Du müsstest dir also über tl_session die BackendUser ID holen und dann manuell über die Datenbank direkt abfragen, ob es sich um einen Admin handelt oder nicht. Sprich die einzelnen Schritte sind:

Den richtigen Session Hash holen.
Mit diesem Hash die Backend Session aus tl_session auslesen.
Mit der pid der Session den Wert tl_user.isAdmin holen.

**Andreas** · 17.11.2017, 23:51

Ich mach das bei mir immer so und das hat bisher immer funktioniert.

PHP-Code:


/** Extra admin FE CSS and JS if you are logged into BE */

if(sha1(session_id().(!Config::get('disableIpCheck') ? Environment::get('ip') : '').'BE_USER_AUTH') == Input::cookie('BE_USER_AUTH'))

{

  $GLOBALS['TL_HEAD'][]  = '<!-- templates/j_admin_test.html5 - TL_HEAD -->

    <link href="files/css/_my_fe.css" rel="stylesheet">';

  $GLOBALS['TL_BODY'][]  = '<!-- templates/j_admin_test.html5 - TL_BODY -->

    <script src="files/js/_my_fe.js"></script>';

}

/** */

Ich benutze zwar das Feld "eigene Head Tags" mit dem Inserttag {{file::j_admin_test.html5}}, aber das dürfte ja eigentlich keinen Unterschied machen, oder?

Edit: Ah, ok, sorry. Grad gesehen, da fehlt bei mir wohl auch noch der Check, ob der User im BE ein Admin ist. Das mit den \User Methoden hatte ich damals auch probiert, habe ich aber nie hinbekommen.

Jayster · 20.11.2017, 09:10

Danke euch beiden, ich glaube, jetzt hab ich's.

PHP-Code:


$sessionHash = sha1(session_id() . (!Config::get('disableIpCheck') ? Environment::get('ip') : '') . 'BE_USER_AUTH');



if ($sessionHash == Input::cookie('BE_USER_AUTH')) {

    $db = Database::getInstance();

    $user = $db->prepare("

            SELECT admin

            FROM tl_user

            JOIN tl_session

            ON tl_user.id = tl_session.pid

            WHERE tl_session.hash = ?")

        ->execute($sessionHash)

        ->row();

    

    if ($user && $user[admin] == 1) {

        echo 'admin';

    }

}

**Spooky** · 20.11.2017, 09:40

Oder

PHP-Code:


    $admin = $db->prepare("

            SELECT admin

            FROM tl_user

            JOIN tl_session

            ON tl_user.id = tl_session.pid

            WHERE tl_session.hash = ?")

        ->execute($sessionHash)

        ->fetchColumn();

Jayster · 20.11.2017, 10:13

fetchColumn() wirft mir folgenden Fehler:

Code:

Fatal error: Uncaught exception Error with message Call to undefined method Contao\Database\Mysqli\Result::fetchColumn() thrown in templates\theme-one\j_admin_test.html5 on line 14