Чем отличается is_granted() и has_role() в фреймворке Symfony 2?

Question

[Quber]

Собственно сабж. Чем отличается is_granted() и has_role() в фреймворке Symfony 2 ? Например, здесь symfony.com/doc/current/bundles/SensioFrameworkExt...

Привожу пример из документации бандла SensioFrameworkExtraBundle:

/**
 * @Security("has_role('ROLE_ADMIN') and is_granted('POST_SHOW', post)")
 */
public function showAction(Post $post)
{
    // somethings
}

Answer 1

[mind3]

has_role - проверяет доступ по роли пользователя
is_granted - проверяет права на выполнение действия.

Comments

[Quber]

А как эти права на выполнение действия присвоить пользователю? Не поделитесь ссылочкой?

Answer 2

[Александр Аксентьев]

Не знаток симфонии, но если попробовать понять.

is granted Может быть у кого угодно т.е. есть доступ к какой либо функции.
has role Принадлежность группе.

Т.е. группа админов необязательно имеет доступ post_show

Comments

[Quber]

has_role вроде понятно. Проверяет у пользователя права. В данном случае имеет ли он права "ROLE_ADMIN".

А вот is_granted не совсем понятно. Проверка на то, есть ли доступ к функции? А доступ к функции разве проверяется не на основе того же has_role только под другими правами (POST_SHOW) ?

[Александр Аксентьев]

@Quber: Да, проверка на доступ к конкретной функции(возможно это галочкой ставится где-нибудь в админке для каждого пользователя) и нет это все-таки разные вещи. Может быть любое количество админов, но у каждного разные права стоят. Если перевести на русский язык is granted - предоставлен ли доступ, а has role - понятно имеет ли группу(роль)

[Quber]

А разве доступ к функции предоставляется не согласно роли?

[Александр Аксентьев]

Quber: это прошлый век :)

[Quber]

Александр Аксентьев: а как назначать эти самые права пользователю на доступ к конкретной функции?

[Александр Аксентьев]

Quber: как я уже гвоорил не знаток симфонии, поэтому подсказать не могу как это делается

Answer 3

[Александр Зеленин]

проверка роли и проверка разрешения.
хорошая практика - давать доступ по разрешениям, а не по роли. Это более гибко.

Comments

[Quber]

Александр Зеленин Что то не совсем понимаю доступу по разрешению. А как это разрешение присвоить? Можно ссылочку на мануал или может сами сможете объяснить. Как присвоить роль понятно, поле roles в таблице у пользователя и у группы. А разрешения? Где они настраиваются, не совсем понятно. Объясните пожалуйста.

Answer 4

[genby8]

Вот ссылка на документацию Идея в том что автор сущности ( новость или комментарий или еще что) может редактировать её не будучи редактором/модератором и т.п. Для этого в симфонии есть "голосовалка" где проверяются права на действие с сущностью.
Примечание: субьект над которым проверяются права не обязательно сущность.