23. 02. 2012, 01:01

Hallo zusammen,
In einem Projekt möchte ich Dokumente nur für Benutzer einer bestimmten feUsergroup zur Verfügung stellen.

Ich habe nun, in etwa wie unter
http://buzz.typo3.org/people/soeren-malling/article/create-a-download-action-with-extbase/
, eine downloadAction erstellt.
Die Seite, auf dem das Plugin liegt, ist natürlich auf den Zugriff mit nur der feUsergroup konfiguriert. Durch die DownloadAction ist die URL der Datei auch nicht ersichtlich. Ich habe auch den Ordner, in dem die Dateien liegen sollen per .htaccess mit der deny from all Einstellung vor direkten Aufrufen geschützt.

Die eigentliche Frage nun: reicht die Zugriffsbeschränkung der Seite aus, oder muss ich in meiner downloadAction zusätzlich validieren das der feUser in der zugelassenen Gruppe ist?