# HG changeset patch # User Sandrine Ribeau <sandrine.ribeau@logilab.fr> # Date 1226521256 28800 # Node ID 73a25e46d3a9c8aca7fe24e9a9532ba0a52ed578 # Parent d11a6f185fb33997adbfb21d68d809c5d74a0eec Moved security to devmanual_fr. diff -r d11a6f185fb3 -r 73a25e46d3a9 doc/securite.txt --- a/doc/securite.txt Wed Nov 12 12:20:12 2008 -0800 +++ /dev/null Thu Jan 01 00:00:00 1970 +0000 @@ -1,46 +0,0 @@ -.. -*- coding: utf-8 -*- - -Le contrôle d'accès -=================== - -Vocabulaire ------------ - -* Personne, Societe définissent deux *types* d'entité - -* "Personne travaille_pour Societé" déclare qu'une relation - travaille_pour peut exister entre une entité de type Personne et une - entité de type Societe. L'ensemble des règles de ce type appliqué - à la relation "travaille_pour" définit le schéma de la relation - "travaille_pour" - - -Description du modèle de sécurité ---------------------------------- - -Le modèle de sécurité de `CubicWeb` est un modèle fondé sur des `Access -Control List`. Les notions sont les suivantes : - -* utilisateurs et groupes d'utilisateurs -* un utilisateur appartient à au moins un groupe -* droits (lire, modifier, créer, supprimer) -* les droits sont attribués aux groupes (et non aux utilisateurs) - -Pour `CubicWeb` plus spécifiquement : - -* on associe les droits au niveau des schemas d'entites / relations -* pour chaque type d'entité, on distingue les droits de lecture, - ajout, modification et suppression -* pour chaque type de relation, on distingue les droits de lecture, - ajout et suppression (on ne peut pas modifer une relation) -* les groupes de base sont : Administrateurs, Utilisateurs, Invités -* les utilisateurs font par défaut parti du groupe Utilisateurs -* on a un groupe virtuel "Utilisateurs Propriétaires", auquel on peut - associer uniquement les droits de suppression et de modification -* on ne peut pas mettre d'utilisateurs dans ce groupe, ils y sont - ajoutés implicitement dans le contexte des objets dont ils sont - propriétaires -* les droits de ce groupe ne sont vérifiés que sur - modification / suppression si tous les autres groupes auxquels - l'utilisateur appartient se sont vu interdir l'accès -