Autorisation pour l'affichage des objets affichés dans une recherche #162

Open
glopglop wants to merge 1 commits from glopglop/spip:dev/autoriser_voir_dans_recherche into master
glopglop commented 4 weeks ago

Bonjour,

Ce patch vérifie que l'on est bien autorisé·e à voir des objets lorsque l'on fait une recherche dans l'interface privée.

L'idée ici est de se reposer sur les autorisations autoriser_*_voir pour s'assurer que l'on peut effectuer des recherches (et afficher les résultats) sur les objets concernés. Sans cela, il est possible de faire afficher à SPIP des objets (leur titre, en tout cas) que l'on n'aurait pas l'autorisation de voir.

L'autorisation est globale, au sens où il n'y a pas de vérification de l'autorisation pour chaque résultat de la recherche. Il y a peut-être un moyen de faire plus finement en établissant une liste des identifiants des objets que l'on peut afficher dans les résultats (un peu à la manière de statuts_articles_visibles, qui indique quels statuts d'articles on a le droit d'afficher), mais je ne vois pas comment faire cela sans appeler l'autorisation pour tous les objets, ce qui alourdirait considérablement la recherche.

Néanmoins, l'autorisation n'est pas appliquée dans le cas des articles, car elle est déjà prise en compte lors de l'établissement de la variable statut.

Merci !

++
Glop

Bonjour, Ce patch vérifie que l'on est bien autorisé·e à voir des objets lorsque l'on fait une recherche dans l'interface privée. L'idée ici est de se reposer sur les autorisations `autoriser_*_voir` pour s'assurer que l'on peut effectuer des recherches (et afficher les résultats) sur les objets concernés. Sans cela, il est possible de faire afficher à SPIP des objets (leur titre, en tout cas) que l'on n'aurait pas l'autorisation de voir. L'autorisation est globale, au sens où il n'y a pas de vérification de l'autorisation pour chaque résultat de la recherche. Il y a peut-être un moyen de faire plus finement en établissant une liste des identifiants des objets que l'on peut afficher dans les résultats (un peu à la manière de `statuts_articles_visibles`, qui indique quels statuts d'articles on a le droit d'afficher), mais je ne vois pas comment faire cela sans appeler l'autorisation pour tous les objets, ce qui alourdirait considérablement la recherche. Néanmoins, l'autorisation n'est pas appliquée dans le cas des articles, car elle est déjà prise en compte lors de l'établissement de la variable `statut`. Merci ! ++ Glop
glopglop added 1 commit 4 weeks ago
037a124035 Autorisation pour l'affichage des objets affichés dans une recherche
This pull request can be merged automatically.
This branch is out-of-date with the base branch
You are not authorized to merge this pull request.
Sign in to join this conversation.
No reviewers
No Label
No Milestone
No Assignees
1 Participants
Notifications
Due Date

No due date set.

Dependencies

This pull request currently doesn't have any dependencies.

Loading…
There is no content yet.