Autorisations pour tous les items du menu de l'espace privé. #3553

Closed
opened 7 years ago by teddy.spip · 9 comments

Bonjour,

Lorsqu'on est connecté en tant qu'administrateur non webmestre, nous avons accès à des sous-éléments des différents menus du BO. Lorsqu'on clique sur ces items, on obtient un "accès interdit". De ce fait, il n'est pas pertinent d'avoir ces items dans le menu si les administrateurs n'y ont pas accès
Il faudrait créer l'autorisation sur les menus en reprenant l'autorisation présente sur la page prive/squelettes/contenu/page_desiree.html

Exemple : ecrire/?exec=admin_vider
il faudrait l'autorisation :

function autoriser_adminvider_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

Cette autorisation reprend l'autorisation insérée dans /prive/squelettes/contenu/admin_vider.html

Bonjour, Lorsqu'on est connecté en tant qu'administrateur non webmestre, nous avons accès à des sous-éléments des différents menus du BO. Lorsqu'on clique sur ces items, on obtient un "accès interdit". De ce fait, il n'est pas pertinent d'avoir ces items dans le menu si les administrateurs n'y ont pas accès Il faudrait créer l'autorisation sur les menus en reprenant l'autorisation présente sur la page _prive/squelettes/contenu/page_desiree.html_ Exemple : ecrire/?exec=admin_vider il faudrait l'autorisation : <pre> function autoriser_adminvider_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } </pre> Cette autorisation reprend l'autorisation insérée dans _/prive/squelettes/contenu/admin_vider.html_
b_b commented 7 years ago
Owner

Salut Teddy, peux-tu dresser la liste des items à corriger stp ?

Salut Teddy, peux-tu dresser la liste des items à corriger stp ?
Poster

Salut Bruno,

En fait, après investigation les pages interdites sont dues au plugin autorité. Mais cela soulève un autre soucis. J'ai configuré par autorité l'accès aux pages uniquement aux webmestres. Un administrateur (de toutes les rubriques) n'a plus accès aux pages un peu techniques. Le soucis est que SPIP n'enlève pas les items correspondants. Il faudrait avoir une autorisation sur chaque item des sous-menus (avec autoriser_nomitem_menu_dist).

Soit quelque chose comme ça :

function autoriser_configurerinteractions_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_configurerlangue_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_configurermultilinguisme_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_configurercontenu_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_configureravancees_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_adminplugin_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_configurerforum_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_configurerrevisions_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_configurerurls_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_restaurer_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('configurer', $type, $id, $qui, $opt);
}

function autoriser_admintech_menu_dist($faire, $type, $id, $qui, $opt)
{
    return autoriser('detruire', $type, $id, $qui, $opt);
}

Pour la page prive/squelettes/contenu/configurer_urls.html on n'a pas

[(#AUTORISER{configurer,_urls}|sinon_interdire_acces)]
. Il n'y a rien de renseigné.

Voilà pour le topo.

Salut Bruno, En fait, après investigation les pages interdites sont dues au plugin autorité. Mais cela soulève un autre soucis. J'ai configuré par autorité l'accès aux pages uniquement aux webmestres. Un administrateur (de toutes les rubriques) n'a plus accès aux pages un peu techniques. Le soucis est que SPIP n'enlève pas les items correspondants. Il faudrait avoir une autorisation sur chaque item des sous-menus (avec autoriser_nomitem_menu_dist). Soit quelque chose comme ça : <pre> function autoriser_configurerinteractions_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_configurerlangue_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_configurermultilinguisme_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_configurercontenu_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_configureravancees_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_adminplugin_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_configurerforum_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_configurerrevisions_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_configurerurls_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_restaurer_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('configurer', $type, $id, $qui, $opt); } function autoriser_admintech_menu_dist($faire, $type, $id, $qui, $opt) { return autoriser('detruire', $type, $id, $qui, $opt); } </pre> Pour la page _prive/squelettes/contenu/configurer_urls.html_ on n'a pas <pre>[(#AUTORISER{configurer,_urls}|sinon_interdire_acces)]</pre>. Il n'y a rien de renseigné. Voilà pour le topo.
b_b commented 7 years ago
Owner
There is no content yet.
Owner
There is no content yet.
b_b commented 7 years ago
Owner

Version cible mise à 3.1

**Version cible mise à 3.1**
Owner

Assigné à b_b

**Assigné à b_b**
b_b commented 6 years ago
Owner

Pour ce qui concerne le core voir r23510

Et pour les plugins-dist :

Je laisse les autres confirmer que tout est bon avant de fermer le ticket :)

Pour ce qui concerne le core voir r23510 Et pour les plugins-dist : * https://zone.spip.org/trac/spip-zone/changeset/104157 * https://zone.spip.org/trac/spip-zone/changeset/104158 * https://zone.spip.org/trac/spip-zone/changeset/104159 * https://zone.spip.org/trac/spip-zone/changeset/104160 Je laisse les autres confirmer que tout est bon avant de fermer le ticket :)
b_b commented 6 years ago
Owner

Statut changé à En cours

**Statut changé à En cours**
b_b commented 6 years ago
Owner

Ça semble bon de mon côté après avoir testé avec autorité, par contre il semble y avoir quelques ajustements à effectuer dans le plugin pour que ça colle parfaitement. Je te laisse t'occuper de ça et je ferme le ticket.
Statut changé à Fermé

Ça semble bon de mon côté après avoir testé avec autorité, par contre il semble y avoir quelques ajustements à effectuer dans le plugin pour que ça colle parfaitement. Je te laisse t'occuper de ça et je ferme le ticket. **Statut changé à Fermé**
Sign in to join this conversation.
No Milestone
No project
No Assignees
4 Participants
Notifications
Due Date

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Loading…
There is no content yet.