Autorisation pour l'affichage des objets affichés dans une recherche (!162) · Requêtes de fusion · spip / spip

Glop a demandé de fusionner gh-3abd0771/162/unknown/refs/pull/162/head vers master avr. 19, 2021

Bonjour,

Ce patch vérifie que l'on est bien autorisé·e à voir des objets lorsque l'on fait une recherche dans l'interface privée.

L'idée ici est de se reposer sur les autorisations autoriser_*_voir pour s'assurer que l'on peut effectuer des recherches (et afficher les résultats) sur les objets concernés. Sans cela, il est possible de faire afficher à SPIP des objets (leur titre, en tout cas) que l'on n'aurait pas l'autorisation de voir.

L'autorisation est globale, au sens où il n'y a pas de vérification de l'autorisation pour chaque résultat de la recherche. Il y a peut-être un moyen de faire plus finement en établissant une liste des identifiants des objets que l'on peut afficher dans les résultats (un peu à la manière de statuts_articles_visibles, qui indique quels statuts d'articles on a le droit d'afficher), mais je ne vois pas comment faire cela sans appeler l'autorisation pour tous les objets, ce qui alourdirait considérablement la recherche.

Néanmoins, l'autorisation n'est pas appliquée dans le cas des articles, car elle est déjà prise en compte lors de l'établissement de la variable statut.

Merci !

++ Glop

Autorisation pour l'affichage des objets affichés dans une recherche

Rapports de requête de fusion