Autorisations pour tous les items du menu de l'espace privé. #3553

Bonjour,

Lorsqu'on est connecté en tant qu'administrateur non webmestre, nous avons accès à des sous-éléments des différents menus du BO. Lorsqu'on clique sur ces items, on obtient un "accès interdit". De ce fait, il n'est pas pertinent d'avoir ces items dans le menu si les administrateurs n'y ont pas accès
Il faudrait créer l'autorisation sur les menus en reprenant l'autorisation présente sur la page prive/squelettes/contenu/page_desiree.html

Exemple : ecrire/?exec=admin_vider
il faudrait l'autorisation :

function autoriser_adminvider_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

Cette autorisation reprend l'autorisation insérée dans /prive/squelettes/contenu/admin_vider.html

Salut Teddy, peux-tu dresser la liste des items à corriger stp ?

Salut Bruno,

En fait, après investigation les pages interdites sont dues au plugin autorité. Mais cela soulève un autre soucis. J'ai configuré par autorité l'accès aux pages uniquement aux webmestres. Un administrateur (de toutes les rubriques) n'a plus accès aux pages un peu techniques. Le soucis est que SPIP n'enlève pas les items correspondants. Il faudrait avoir une autorisation sur chaque item des sous-menus (avec autoriser_nomitem_menu_dist).

Soit quelque chose comme ça :

function autoriser_configurerinteractions_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_configurerlangue_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_configurermultilinguisme_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_configurercontenu_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_configureravancees_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_adminplugin_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_configurerforum_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_configurerrevisions_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_configurerurls_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_restaurer_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_admintech_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('detruire', $type, $id, $qui, $opt);
}

Pour la page prive/squelettes/contenu/configurer_urls.html on n'a pas

[(#AUTORISER{configurer,_urls}|sinon_interdire_acces)]

. Il n'y a rien de renseigné.

Voilà pour le topo.

Salut Bruno, En fait, après investigation les pages interdites sont dues au plugin autorité. Mais cela soulève un autre soucis. J'ai configuré par autorité l'accès aux pages uniquement aux webmestres. Un administrateur (de toutes les rubriques) n'a plus accès aux pages un peu techniques. Le soucis est que SPIP n'enlève pas les items correspondants. Il faudrait avoir une autorisation sur chaque item des sous-menus (avec autoriser_nomitem_menu_dist). Soit quelque chose comme ça : <pre> function autoriser_configurerinteractions_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_configurerlangue_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_configurermultilinguisme_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_configurercontenu_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_configureravancees_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_adminplugin_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_configurerforum_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_configurerrevisions_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_configurerurls_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_restaurer_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_admintech_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('detruire', $type, $id, $qui, $opt); } </pre> Pour la page _prive/squelettes/contenu/configurer_urls.html_ on n'a pas <pre>[(#AUTORISER{configurer,_urls}|sinon_interdire_acces)]</pre>. Il n'y a rien de renseigné. Voilà pour le topo.

There is no content yet.

Version cible mise à 3.1

Assigné à b_b

Pour ce qui concerne le core voir r23510

Et pour les plugins-dist :

Je laisse les autres confirmer que tout est bon avant de fermer le ticket :)

Statut changé à En cours

Ça semble bon de mon côté après avoir testé avec autorité, par contre il semble y avoir quelques ajustements à effectuer dans le plugin pour que ça colle parfaitement. Je te laisse t'occuper de ça et je ferme le ticket.
Statut changé à Fermé