25-05-2010, 12:10 PM
Hello, j'ai jamais essayé RESTful_acl. Ça n'a pas grand intérêt si ça son support de base se limite aux actions de REST, car REST ne sert qu'à réaliser des API, c'est loin d'être un besoin quotidien. Après, c'est vrai que ça aide à être cohérent dans l'URL des pages (pour un formulaire d'inscription, l'URL /users/new convient bien).
J'avais utilisé un peu Acl9, il était sympa.
Mais en pratique (et j'ai été le premier étonné), j'utilise très peu les Acl. La sécurisation des accès se fait naturellement la plupart du temps. Par exemple si quelqu'un veut modifier un message sur un forum, le contrôleur qui affiche le formulaire va avoir un code comme :
Donc en fait, c'est sécurisé d'office (du moins pour l'appartenance) : l'utilisateur ne pourra modifier que ces messages.
Sephi-Chan
J'avais utilisé un peu Acl9, il était sympa.
Mais en pratique (et j'ai été le premier étonné), j'utilise très peu les Acl. La sécurisation des accès se fait naturellement la plupart du temps. Par exemple si quelqu'un veut modifier un message sur un forum, le contrôleur qui affiche le formulaire va avoir un code comme :
def edit
@message = current_user.messages.find(params[:id])
# La requête SQL sera de la forme : SELECT * FROM messages WHERE user_id = {{current_user.id}} AND id = {{params[:id]}}
end
def update
@message = current_user.messages.find(params[:id])
if @message.update_attributes(params[:message])
redirect_to @message.thread
else
render 'edit'
end
end
Donc en fait, c'est sécurisé d'office (du moins pour l'appartenance) : l'utilisateur ne pourra modifier que ces messages.
Sephi-Chan