Sicherheitsannahmen werden an den folgenden Stellen getroffen:
browser
-Komponenten wie views
und resource
, die in ZCML deklariert und mit einer Berechtigung versehen werden.
Page Templates und andere Ressourcen, die durch das Skins-Tool verwaltet werden, werden explizit bestimmten Rollen zugewiesen. So wird z.B. prefs_install_products_form.pt
in der assoziierten Datei prefs_install_products_form.pt.metadata
explizit auf die Manager
-Rolle eingeschränkt:
[security]
View = 0:Manager
Attribute und Methoden von persistenten Objekten wie Artikeltypen und Tools können auf zweierlei Art geschützt werden:
durch ZCML-Berechtigungen mit class
- oder require
-Anweisungen
durch Python-Code, der ein AccessControl.ClassSecurityInfo
–Objekt verwendet.
Zusätzlich kann die Variable __allow_access_to_unprotected_subjects__
einer Klasse hinzugefügt werden um zu bestimmen, wie sich Attribute, die ihrerseits nicht durch Security-Annahmen geschützt sind, verhalten sollen.