FLOW3 : You are not allowed to perform this action

Par défaut

Si comme moi vous passez _un certains temps_ à essayer de comprendre pourquoi l’appel de votre action protégée vous renvoie une exception AccessDeniedException « You are not allowed to perform this action« , alors que vous espérez avoir une redirection vers votre « WebRedirect: uri: » alors j’ai probablement la solution.

Pour faire simple, FLOW3 embarque une protection CSRF (Cross site request forgery) : cette dernière consiste à passer un jeton (une chaine aléatoire) à chaque fois qu’un appel vers une opération protégée est fait de façon à ce que l’url de cet appel soit unique. Ce jeton est ajouté automatiquement lorsque le lien sont générés par FLUID.

Si par contre vous faites un appel direct à une action protégée et que vous souhaitez quand même que l’utilisateur soit redirigé vers la page d’authentification, alors il faudra ajouter l’annotation « @FLOW3\SkipCsrfProtection » à votre action.

Plus d’info ici : http://media.netlogix.de/community/details/artikel/csrf-protection-in-typo3-phoenix-kindly-provided-by-flow3