Ca dépend des rôles et de ce qu'ils impliquent en terme de droit... Cancan, ou du STI, et ActiveAdmin pour l'interface admin.
On 21 nov, 08:53, Guillaume Betous <[email protected]> wrote: > Bonjour, > > Je suis en train d'écrire une petite appli qui sera utilisée par une > poignée de personnes (usage interne). Il y a un système d'authentification, > j'ai choisi Devise. J'ai ajouté sans difficulté un rôle d'admin : un simple > booléen dans la table USERS, et une fonction is_admin? retourne TRUE quand > l'utilisateur connecté est un admin. > Jusque-là, pas de soucis... > > De la même manière que Admin, je vais avoir d'autres rôles à gérer. Je veux > que seul un admin puisse gérer ces droits (y compris le rôle d'admin > d'ailleurs) > > Ce que je compte faire : > - ne pas faire apparaître les rôles dans la page où chaque utilisateur peut > manipuler son propre compte > - utiliser attr_accessible pour ne pas autoriser ces champs dans le > mass-assignment > - créer une fonction pour chaque rôle style "toggle_roleX" pour > activer/désactiver le rôle, où l'on vérifiera que l'utilisateur courant est > admin > - dans la page "backend" où les admins peuvent avoir accès à la fiche d'un > utilisateur, un bouton permettra d'appeler le "toggle_roleX" > > Même si cette appli est à usage interne (peu de chances de hack), autant > faire les choses comme il faut : est-ce la bonne manière d'opérer ? > > Merci ! > > gUI > > -- > Pour la santé de votre ordinateur, préférez les logiciels libres. > Lire son mail :http://www.mozilla-europe.org/fr/products/thunderbird/ > Browser le web :http://www.mozilla-europe.org/fr/products/firefox/ > Suite bureautique :http://www.libreoffice.org/download/ -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement envoyez un e-mail à l'adresse [email protected]
