Bug #36988
API listant les démarches, quand backoffice-submission=on est passé, ne pas retourner toutes les démarches, même pour les admins.
Début:
16 octobre 2019
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Oui
Planning:
Non
Description
En BO remontent les formulaires qui ont au moins un "Rôle pour la saisie backoffice" spécifié, si un agent tente la saisie alors qu'il n'a pas un rôle l'autorisant : erreur.
Exemple sur https://agents-meuse.test.entrouvert.org/- "Contact" apparaît puisque "Accueil" est "Rôle pour la saisie backoffice" (https://formulaires-meuse.test.entrouvert.org/backoffice/forms/2/)
- "Accueil" n'est attribué à aucun compte
- Tous les comptes accédant au BO peuvent cliquer sur "Contact" et alors : "Erreur / Accès interdit / Continuer vers la page d'accueil".
Fichiers
Révisions associées
Historique
Mis à jour par Frédéric Péters il y a plus de 4 ans
Tu peux filer toutes les infos d'accès y compris identifiant et mot de passe pour regarder ?
Mis à jour par Brice Mallet il y a plus de 4 ans
J'ai été trop rapide dans mon analyse, je reprends :
- "Contact" n'apparaît pas pour un compte n'ayant comme seul rôle "Agent (exemple : bmallet+agent@entrouvert.com / xxx) : OK
- "Contact" apparaît pour un compte ayant un rôle "Administrateur fonctionnel", sans avoir le rôle "Accueil" (exemple : thibault.limare@meuse.fr / xxx) : KO
Le problème est donc uniquement pour les administrateurs de démarches et non pour les agents traitants, ce qui du coup est bien moins gênant.
Mis à jour par Frédéric Péters il y a plus de 4 ans
- Projet changé de Combo à w.c.s.
- Sujet changé de Erreur sur tentative de saisie BO d'un formulaire, sans en avoir les droits à API listant les démarches, quand backoffice-submission=on est passé, ne pas retourner toutes les démarches, même pour les admins.
Oui tout est retourné pour les administrateurs; c'est le comportement de l'API côté w.c.s.; je viens d'écrire tout ça dans l'intitulé.
Mis à jour par Frédéric Péters il y a plus de 4 ans
- Fichier 0001-api-do-not-advertise-all-forms-for-backoffice-submis.patch 0001-api-do-not-advertise-all-forms-for-backoffice-submis.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Petite hésitation de dernière minute par rapport à welco mais d'un rapide test local c'est ok.
Mis à jour par Thomas Noël il y a plus de 4 ans
A priori cette partie devient inutile :
if backoffice_submission:
list_all_forms = True
car en mode backoffice_submission on ne regarde plus list_all_forms.
Mis à jour par Frédéric Péters il y a plus de 4 ans
- Fichier 0001-api-do-not-advertise-all-forms-for-backoffice-submis.patch 0001-api-do-not-advertise-all-forms-for-backoffice-submis.patch ajouté
Ah oui j'ai mis deux versions de mon patch en un seul...
Mis à jour par Thomas Noël il y a plus de 4 ans
- Statut changé de Solution proposée à Solution validée
Mis à jour par Frédéric Péters il y a plus de 4 ans
- Statut changé de Solution validée à Résolu (à déployer)
commit b876213f441bbdbad5543c4f57fdbb5dd0a85c9f
Author: Frédéric Péters <fpeters@entrouvert.com>
Date: Wed Oct 16 16:17:35 2019 +0200
api: do not advertise all forms for backoffice submission to admins (#36988)
Mis à jour par Frédéric Péters il y a plus de 4 ans
- Statut changé de Résolu (à déployer) à Solution déployée
api: do not advertise all forms for backoffice submission to admins (#36988)