Dans notre nouveau projet de logiciel, nous avons l'exigence suivante: Une page Web doit montrer un ensemble de données. Ces données doivent être modifiables par certains utilisateurs (assignés aux rôles, c'est-à-dire par le gestionnaire), et uniquement visibles par les autres. La partie délicate est décrite par un exemple:
Une page utilisateur se compose de données d'adresse et d'informations de compte. Les données d'addition doivent être modifiables par l'utilisateur et le gestionnaire et être visualisées par tous les utilisateurs, tandis que les informations de compte ne doivent être visibles que par l'utilisateur réel et le gestionnaire.ACL au niveau du champ dans Grails
J'ai lu beaucoup d'informations sur SpringSecurity. Il fournit un très bon cadre pour les grandes permissions sur les urls et les méthodes et même les classes de domaine. Mais ce dont j'ai besoin, ce sont des ACL au niveau du champ. Au moins, c'est ce que je pense en ce moment. Donc, la question est: Comment résoudre ce problème en utilisant Grails?
Merci beaucoup à l'avance,
Cordialement Daniel
Merci pour cette réponse rapide incroyable. Cette balise semble très utile car des vues limitées et une fonctionnalité d'édition appropriée peuvent être implémentées en l'utilisant. Le seul inconvénient qui me vient à l'esprit est: Les rôles sont codés en dur dans les fichiers GSP, n'est-ce pas? Avez-vous une idée astucieuse de ce problème? – Daniel
Dans Bootstrap.groovy, vous avez généralement du code pour définir les rôles et .save() mais GORM (avec sql) crée en fait des tables de base de données telles que role. –
Merci encore pour votre réponse. Une question concernant la sécurité: Si la visualisation ou l'édition d'une propriété est désactivée, cela ne signifie pas que le contrôleur "connaît" le fait et ignore certaines données qui sont envoyées dans la requête. Alors quelle est la meilleure pratique pour empêcher une telle "attaque". De plus, il me semble que je dois coder en dur le mapping du rôle sur une propriété à deux endroits: GSP et le contrôleur. Y a-t-il un endroit central pour le dire? – Daniel