1 .. -*- coding: utf-8 -*- |
|
2 |
|
3 Le contrôle d'accès |
|
4 =================== |
|
5 |
|
6 Vocabulaire |
|
7 ----------- |
|
8 |
|
9 * Personne, Societe définissent deux *types* d'entité |
|
10 |
|
11 * "Personne travaille_pour Societé" déclare qu'une relation |
|
12 travaille_pour peut exister entre une entité de type Personne et une |
|
13 entité de type Societe. L'ensemble des règles de ce type appliqué |
|
14 à la relation "travaille_pour" définit le schéma de la relation |
|
15 "travaille_pour" |
|
16 |
|
17 |
|
18 Description du modèle de sécurité |
|
19 --------------------------------- |
|
20 |
|
21 Le modèle de sécurité de `CubicWeb` est un modèle fondé sur des `Access |
|
22 Control List`. Les notions sont les suivantes : |
|
23 |
|
24 * utilisateurs et groupes d'utilisateurs |
|
25 * un utilisateur appartient à au moins un groupe |
|
26 * droits (lire, modifier, créer, supprimer) |
|
27 * les droits sont attribués aux groupes (et non aux utilisateurs) |
|
28 |
|
29 Pour `CubicWeb` plus spécifiquement : |
|
30 |
|
31 * on associe les droits au niveau des schemas d'entites / relations |
|
32 * pour chaque type d'entité, on distingue les droits de lecture, |
|
33 ajout, modification et suppression |
|
34 * pour chaque type de relation, on distingue les droits de lecture, |
|
35 ajout et suppression (on ne peut pas modifer une relation) |
|
36 * les groupes de base sont : Administrateurs, Utilisateurs, Invités |
|
37 * les utilisateurs font par défaut parti du groupe Utilisateurs |
|
38 * on a un groupe virtuel "Utilisateurs Propriétaires", auquel on peut |
|
39 associer uniquement les droits de suppression et de modification |
|
40 * on ne peut pas mettre d'utilisateurs dans ce groupe, ils y sont |
|
41 ajoutés implicitement dans le contexte des objets dont ils sont |
|
42 propriétaires |
|
43 * les droits de ce groupe ne sont vérifiés que sur |
|
44 modification / suppression si tous les autres groupes auxquels |
|
45 l'utilisateur appartient se sont vu interdir l'accès |
|
46 |
|