[Symfony][Symfony2] ACL - jak tego używać? Opcje

[kabanek]

Witam,

piszę projekt w Symfony2 i chciałem użyć ACL, gdyż jest to dlaczego by nie skorzystać ?
Włączyłem acl, napisałem przy dodawaniu taki otoż kod:

[PHP] pobierz, plaintext 
            if ($form->isValid()) {
                $securityContext = $this->get('security.context');
                $user = $securityContext->getToken()->getUser(); // get current user
 
                $project->setAuthor($user);
 
                $entityManager = $this->get('doctrine.orm.default_entity_manager');
                $entityManager->persist($project);
                $entityManager->flush();
 
                // creating the ACL
                $aclProvider = $this->get('security.acl.provider');
                $objectIdentity = ObjectIdentity::fromDomainObject($project);
                $acl = $aclProvider->createAcl($objectIdentity);
 
                // retrieving the security identity of the currently logged-in user
                $securityIdentity = UserSecurityIdentity::fromAccount($user);
 
                // grant owner access
                $acl->insertObjectAce($securityIdentity, MaskBuilder::MASK_OWNER);
                $aclProvider->updateAcl($acl);
 
                $this->get('session')->setFlash('info', $this->tr('Project created'));
 
                return $this->redirect($this->generateUrl('projects_list'));
            }
[PHP] pobierz, plaintext 

i teraz mam pytanie, jak sprawdzić, czy zalogowany użytkownik ma do niego prawa?
Przypuśćmy taką sytuację: mam dwa obiekty klas $user oraz $project. Jak sprawdzić, czy wybrany użytkownik ma prawa do tego obiektu?
To jest raz, dwa: chcę stworzyć grupę użytkowników, którzy mają prawo np dodawać projekty oraz edytować ale tylko te, które sami stworzyli. Można to zrobić za pomocą acl?

Ogólnie chcę zrobić tak: jest użytkownik, który należy do jakiejś grupy. Na początku ten user wraz ze wszystkimi w grupie ma prawo do edycji/usuwania projektów. Następnie pozwala innej grupie np grupie X na to, aby mogli przeglądać zawartość projektu, ale bez edycji. Natomiast grupie Y daję uprawnienia podglądu oraz na przykład dodawania komentarzy.

Można to jakoś ładnie zrobić w acl czy muszę to zrobić za pomocą jakiś dodatkowych obiektów typu grupa?

[kabanek]

witam,

to moje drugie podejście do ACL'a i przyznam, że nie wszystko rozumiem. Chcę wykonać następujące czynności:
1. Tworzenie nowego użytkownika - czy tutaj muszę jakoś zainicjować dla niego obiekt ACL? Coś na wzór:

[PHP] pobierz, plaintext 
        $securityContext = $this->container->get('security.context');
        $securityIdentity = UserSecurityIdentity::fromAccount($user);
        $aclProvider->updateAcl($acl);
[PHP] pobierz, plaintext 

2. Dodaję nowy projekt, do którego użytkownik ma prawa OWNER'a (w innej akcji), więc zapewne ten kod wchodzi w grę:

[PHP] pobierz, plaintext 
        // creating the ACL
        $aclProvider = $this->get('security.acl.provider');
        $objectIdentity = ObjectIdentity::fromDomainObject($project);
        $acl = $aclProvider->createAcl($objectIdentity);
 
        // retrieving the security identity of the currently logged-in user
        $securityContext = $this->get('security.context');
        $user = $securityContext->getToken()->getUser();
        $securityIdentity = UserSecurityIdentity::fromAccount($user);
 
        // grant owner access
        $acl->insertObjectAce($securityIdentity, MaskBuilder::MASK_OWNER);
        $aclProvider->updateAcl($acl);
[PHP] pobierz, plaintext 

3. Dać innemu użytkownikowi prawda do tego projektu, powiedzmy VIEW, czyli

[PHP] pobierz, plaintext 
        // creating the ACL
        $aclProvider = $this->get('security.acl.provider');
        $objectIdentity = ObjectIdentity::fromDomainObject($project);
        $acl = $aclProvider->createAcl($objectIdentity);
 
        // retrieving the security identity of the currently logged-in user
        $securityContext = $this->get('security.context');
        $user = $securityContext->getToken()->getUser();
        $securityIdentity = UserSecurityIdentity::fromAccount($user);
 
        // grant owner access
        $acl->insertObjectAce($securityIdentity, MaskBuilder::MASK_VIEW);
        $aclProvider->updateAcl($acl);
[PHP] pobierz, plaintext 

zgadza się? Czy przypadkiem w 3 punkcie zamiast createAcl nie powinno być coś innego?
Samą idee ACL'a rozumiem, tylko nie wiem za bardzo jak z niego korzystać.