Bug #33797
permission sur l'action d'édition
0%
Description
Il y a un tour qui est fait sur les permissions définies dans l'action,
def wfedit(self, action_id): wf_status = self.filled.get_status() for item in wf_status.items: if item.id != action_id: continue if not isinstance(item, EditableWorkflowStatusItem): break if not item.check_auth(self.filled, get_request().user): break
mais ensuite, ça appelle la vue qui fait une seconde vérification,
def _q_index(self): self.check_role()
et celle-ci porte uniquement sur les fonctions.
Il faudrait peut-être, quand l'action est restreinte, ne pas faire le "check_role". (voire vérifier ce qui est déployé et considérer que s'il n'y a pas de restriction posée sur l'action, elle ne peut juste pas être exécutée)
Historique
Mis à jour par Frédéric Péters il y a 5 mois
- Statut changé de Nouveau à Fermé
J'écrivais :
Il faudrait peut-être, quand l'action est restreinte, ne pas faire le "check_role".
Pour la navigation on a de toute façon besoin de pouvoir voir la demande pour avoir le bouton de l'action; le ticket lié parlait d'une utilisation par l'API, et ça s'est donc résolu facilement en ajoutant le rôle concerné à une fonction. Je me dis que c'est très bien comme ça, que la question n'est jamais revenue depuis.