+
−.. -*- coding: utf-8 -*-
+
−
+
−Utilisateurs de l'application : Le contrôle d'accès
+
−===================================================
+
−
+
−
+
−Vocabulaire
+
−-----------
+
−* Personne, Societe définissent deux *types* d'entité 
+
−* "Personne travaille_pour Societé" déclare qu'une relation
+
−  travaille_pour peut exister entre une entité de type Personne et une
+
−  entité de type Societe. L'ensemble des règles de ce type appliqué
+
−  à la relation "travaille_pour" définit le schéma de la relation
+
−  "travaille_pour"
+
−
+
−
+
−Description du modèle de sécurité
+
−---------------------------------
+
−
+
−Le modèle de sécurité de CubicWeb est un modèle fondé sur des `Access
+
−Control List`. Les notions sont les suivantes :
+
−
+
−* utilisateurs et groupes d'utilisateurs
+
−* un utilisateur appartient à au moins un groupe
+
−* droits (lire, modifier, créer, supprimer) 
+
−* les droits sont attribués aux groupes (et non aux utilisateurs)
+
−
+
−Pour CubicWeb plus spécifiquement :
+
−
+
−* on associe les droits au niveau des schemas d'entites / relations
+
−* pour chaque type d'entité, on distingue les droits de lecture,
+
−  ajout, modification et suppression
+
−* pour chaque type de relation, on distingue les droits de lecture,
+
−  ajout et suppression (on ne peut pas modifer une relation)
+
−* les groupes de base sont : Administrateurs, Utilisateurs, Invités
+
−* les utilisateurs font par défaut parti du groupe Utilisateurs
+
−* on a un groupe virtuel "Utilisateurs Propriétaires", auquel on peut
+
−  associer uniquement les droits de suppression et de modification
+
−* on ne peut pas mettre d'utilisateurs dans ce groupe, ils y sont
+
−  ajoutés implicitement dans le contexte des objets dont ils sont
+
−  propriétaires 
+
−* les droits de ce groupe ne sont vérifiés que sur
+
−  modification / suppression si tous les autres groupes auxquels
+
−  l'utilisateur appartient se sont vu interdir l'accès
+
−