[doc] Begin improvement of schema definition.
.. -*- coding: utf-8 -*-
Utilisateurs de l'application : Le contrôle d'accès
===================================================
Vocabulaire
-----------
* Personne, Societe définissent deux *types* d'entité
* "Personne travaille_pour Societé" déclare qu'une relation
travaille_pour peut exister entre une entité de type Personne et une
entité de type Societe. L'ensemble des règles de ce type appliqué
à la relation "travaille_pour" définit le schéma de la relation
"travaille_pour"
Description du modèle de sécurité
---------------------------------
Le modèle de sécurité de CubicWeb est un modèle fondé sur des `Access
Control List`. Les notions sont les suivantes :
* utilisateurs et groupes d'utilisateurs
* un utilisateur appartient à au moins un groupe
* droits (lire, modifier, créer, supprimer)
* les droits sont attribués aux groupes (et non aux utilisateurs)
Pour CubicWeb plus spécifiquement :
* on associe les droits au niveau des schemas d'entites / relations
* pour chaque type d'entité, on distingue les droits de lecture,
ajout, modification et suppression
* pour chaque type de relation, on distingue les droits de lecture,
ajout et suppression (on ne peut pas modifer une relation)
* les groupes de base sont : Administrateurs, Utilisateurs, Invités
* les utilisateurs font par défaut parti du groupe Utilisateurs
* on a un groupe virtuel "Utilisateurs Propriétaires", auquel on peut
associer uniquement les droits de suppression et de modification
* on ne peut pas mettre d'utilisateurs dans ce groupe, ils y sont
ajoutés implicitement dans le contexte des objets dont ils sont
propriétaires
* les droits de ce groupe ne sont vérifiés que sur
modification / suppression si tous les autres groupes auxquels
l'utilisateur appartient se sont vu interdir l'accès