Project

General

Profile

Bug #33797

permission sur l'action d'édition

Added by Frédéric Péters 3 months ago.

Status:
Nouveau
Priority:
Normal
Assignee:
-
Target version:
-
Start date:
07 Jun 2019
Due date:
% Done:

0%

Patch proposed:
No
Planning:
No

Description

Il y a un tour qui est fait sur les permissions définies dans l'action,

    def wfedit(self, action_id):
        wf_status = self.filled.get_status()
        for item in wf_status.items:
            if item.id != action_id:
                continue
            if not isinstance(item, EditableWorkflowStatusItem):
                break
            if not item.check_auth(self.filled, get_request().user):
                break

mais ensuite, ça appelle la vue qui fait une seconde vérification,

    def _q_index(self):
        self.check_role()

et celle-ci porte uniquement sur les fonctions.

Il faudrait peut-être, quand l'action est restreinte, ne pas faire le "check_role". (voire vérifier ce qui est déployé et considérer que s'il n'y a pas de restriction posée sur l'action, elle ne peut juste pas être exécutée)

Also available in: Atom PDF