Project

General

Profile

Souhaits #1416

Une gestion plus fine des droits d'accès

Added by Manuel Her 4 months ago. Updated about 2 months ago.

Status:
Nouveau
Priority:
Normal
Assignee:
-
Category:
-
Target version:
-
Start date:
04/02/2020
Due date:
% Done:

0%

Estimated time:
Vote:

Description

Bonjour,

Il serait bien de limiter un peu plus les accès dans la partie "staff"

En effet les permanents téléphonique ne devraient pas avoir accès à la partie contribution et graphique et ne devraient pas pouvoir modifier autre chose que les fiches adhérents

Les suppressions de fiches en groupe devraient être fortement limitées comme les extractions des informations sensibles (liste complète des adhérents) .

Il faudrait au moins le niveau secrétaire pour ajouter ou modifier une contribution et faire des suppressions

Import et export devraient apparaitre seulement pour les admins

Il faudrait donc au moins un statut : Secrétaire (tout en rw, + fct listage), Permanence (rw sur les adhérents uniquement), Bureau(ro sur tout)

Dans une association, on ne peut donner tous les accès à tout le monde. La confiance augmente avec l'ancienneté:)

Merci

Manuel


Related issues

Related to Galette - Souhaits #1427: Test GaletteRejeté05/11/2020

Actions
#1

Updated by Johan Cwiklinski 4 months ago

  • Tracker changed from Evolution to Souhaits
#2

Updated by Johan Cwiklinski 3 months ago

#3

Updated by Manuel Her about 2 months ago

Bonjour,
En complément de ma 1ere demande, je fais une proposition :

on pourrait ajouter une fonction CanDo(xxx):bool dans la classe Login avec pour paramètres la route et le type d'accès demandé (lister, lecture, édition, suppression, suppression de masse, exporter...)

Dans les templates changer toutes les lignes du genre {if $login->isAdmin() or $login->isStaff()} par un appel unique
par exemple

{if $login->canDo("contribution", "edit") }  ou {if $login->canDo("contribution/edit") }    
{if $login->canDo("membre", "edit") }
{if $login->canDo("membre", "delete") } etc...

parallèlement on aurait une configuration par niveau d'accès dans un fichier de config ou dans la BD
avec une organisation en mémoire du genre :

[Secretary]
adhesion=read;edit
contribution=read;edit
mailmass=xxxx

[Treasurer]
adhesion=read;edit;delete
contribution=read;edit;delete
mailmass=xxxx

[Employee]
adhesion=read;edit
contribution=read
mailmass=xxxx

Dans une première version, on pourrait utiliser un simple fichier INI.

Manuel

Also available in: Atom PDF