Discussion :

[dourouc05]

Je me demande quelle est l'utilité des groupes : il me semblait que c'était un équivalent des groupes dans l'ancien sfGuard de symfony, c'est-à-dire que tous les membres d'un groupe ont directement un ensemble de permissions (des rôles, dans la terminologie Sf2).

Qu'en est-il ? Comment peut-on les utiliser ?

En passant, sur les rôles : doit-on les considérer comme le plus petit élément d'autorisation, c'est-à-dire est-il conseillé d'avoir un rôle pour voir un billet de blog, pour commenter, pour éditer, pour créer, etc. ?

[dourouc05]

Je viens de remarquer qu'il y avait un champ roles dans la table générée... ...

[winzou]

En passant, sur les rôles : doit-on les considérer comme le plus petit élément d'autorisation, c'est-à-dire est-il conseillé d'avoir un rôle pour voir un billet de blog, pour commenter, pour éditer, pour créer, etc. ?

Nop pas du tout, tu as les ACL pour ca ! Les rôles sont plutot quelque chose de général. Et en fait tu peux très bien combiner les deux, genre il faut ROLE_TRUC pour accéder à telle page, et au sein de cette page il faut les ACL sur tel objet pour pouvoir l'éditer.

[dourouc05]

J'ai donc défini une série de rôles comme voir un article, éditer son propre article, éditer tous les articles, le commenter, éditer ses propres commentaires, éditer tous les commentaires, etc. Ensuite, les ACL vont venir faire le lien entre "je peux éditer tous mes articles" et "je peux éditer cet article particulier", c'est bien ça ?

Aussi, je dois pouvoir donner des droits particuliers sur une catégorie. Je crée donc des rôles du genre ROLE_ARTICLE_EDIT_CATEGORY_?, en remplaçant ? par l'id de la catégorie ou bien il y a une autre manière de faire ?

[Tolriq]

Si tes catégories sont aussi des entités (ce que je suppose :p) tu peut utiliser les ACL aussi.

Après tu utilise des isGranted sur la catégorie de ton objet plutôt que sur l'objet lui même, voir un cumul des 2.

[dourouc05]

Parfait, tout ça, ça m'enlevait une épine, un truc qui semblait fonctionnel mais pas parfait !

à vosu deux !

[winzou]

On est bien d'accord, ROLE_ARTICLE_EDIT_CATEGORY ne doit pas exister hein ?

Tu devrais avoir un role ROLE_REDACTEUR, où redacteur est une sorte de groupe autorisé à faire quelques actions sur les catégories. Et pour chaque catégorie, tu as les ACL create, edit, delete. Ces droits crud sont associés à une catégorie. Donc par exemple quand tu affiches la liste des catégories, tu check le role pour voir si le visiteur à le droit de voir la lsite, et tu check les ACL pour voir s'il a le droit de faire des actions sur telle ou telle catégorie.

[dourouc05]

On est bien d'accord, ROLE_ARTICLE_EDIT_CATEGORY ne doit pas exister hein ?

Si, justement, dans ce cas particulier : on doit pouvoir autoriser certaines personnes à écrire des articles qui apparaissent dans certaines catégories (grâce aux ACL), tandis que d'autres personnes doivent avoir le droit d'écrire dans toutes les catégories et que leurs articles apparaissent sur les index (donc ROLE_ARTICLE_EDIT_CATEGORY). À côté, les membres simplement connectés peuvent écrire des articles, les mettre dans des catégories mais on ne peut pas voir directement leurs articles depuis les index. Mais c'est vraiment du détail très spécifique .

Tu devrais avoir un role ROLE_REDACTEUR, où redacteur est une sorte de groupe autorisé à faire quelques actions sur les catégories. Et pour chaque catégorie, tu as les ACL create, edit, delete. Ces droits crud sont associés à une catégorie. Donc par exemple quand tu affiches la liste des catégories, tu check le role pour voir si le visiteur à le droit de voir la lsite, et tu check les ACL pour voir s'il a le droit de faire des actions sur telle ou telle catégorie.

J'ai déjà ce rôle-là et c'est ce que j'envisageais de faire (maintenant, il va falloir trouver les méthodes précises à appeler, mais ça doit se trouver dans le manuel).