Project

General

Profile

Development #38073

tests sur les accès aux formdata (accès directs ou via le code de suivi)

Added by Nicolas Roche 17 days ago. Updated 17 days ago.

Status:
Solution proposée
Priority:
Normal
Assignee:
Target version:
-
Start date:
29 Nov 2019
Due date:
% Done:

0%

Patch proposed:
Yes
Planning:
No

Description

Le but de ce ticket est de proposer un test qui reprend les différent cas d'accès aux ressources accessibles via un code de suivi :
  • accès direct ou par code de suivi
  • accès aux demandes ou aux brouillons
  • accès par différents utilisateurs

0001-tracking_code-add-tests-on-formdata-access-38073.patch View (13.4 KB) Nicolas Roche, 29 Nov 2019 11:59 AM


Related issues

Related to w.c.s. - Development #38077: Accès aux brouillons via le code de suivi Nouveau 29 Nov 2019

History

#1 Updated by Nicolas Roche 17 days ago

L'idée serait d'avoir une matrice récapitulative :

    1- Direct access to ressources :

    | sumitter / accesser | anonymous | user1 | user2 | agent1 | agent2 | admin1 |
    +---------------------+-----------+-------+-------+--------+--------+--------+
    | anonymous           |  login    | deny  | deny  | deny   | (*)    | (*)    |
    | agent1 (submiter)   |  login    | deny  | deny  | deny   | (*)    | (*)    |
    | user1               |  login    | allow | deny  | deny   | (*)    | (*)    |

    (*) Agent2 is the receiver.
        Redirected into backoffice for demands.
        Access denied for drafts.

    2- Access using tracking code :

    All access is granted,
    On restoring draft, the logged user become the new draft owner,
    this affect the computed and prefill fields.

#2 Updated by Nicolas Roche 17 days ago

#3 Updated by Thomas Noël 17 days ago

Je ne comprends pas la matrice.

Par exemple, j'y lis que si sumitter=anonymous et accesser=user1, alors deny ? Mais non, il faut au contraire accepter... non ?

#4 Updated by Nicolas Roche 17 days ago

  • Status changed from Solution proposée to En cours

C'est bien ce que tu lis.
Sauf qu'en vrai ça marche, et donc mon test est mauvais...

#5 Updated by Nicolas Roche 17 days ago

  • Status changed from En cours to Solution proposée

En fait si, c'est bon :
c'est proche de ce que tu décris dans https://dev.entrouvert.org/issues/37808#note-2 :

si elle revient "plus tard" sur l'URL de sa demande, par hasard ou historique de son navigateur

J'arrive sur la même exception "en vrai" (en utilisant un chrome tout neuf, et non pas une instance privé de FF), quand je pointe tout de go sur https://wcs.dev.publik.love/arbres-espaces-verts-aires-de-jeux/30/ :

/wcs/forms/common.py::FormStatusPage
    def check_receiver(self):
 ...
        if not self.filled.formdef.is_user_allowed_read(user, self.filled):
            raise errors.AccessForbiddenError()  # <-- ici

Peut-être que ce n'est pas le comportement voulu, mais j'ai l'impression que c'est bien le comportement observé actuellement.

#6 Updated by Thomas Noël 17 days ago

Nicolas Roche a écrit :

En fait si, c'est bon :

Oui, j'avais lu trop vite croyant que tu respectais le sujet du ticket ;-) En fait la matrice concerne "Direct access to ressources", rien à voir avec le code de suivi...

#7 Updated by Nicolas Roche 17 days ago

  • Subject changed from tests sur les accès via le code de suivi to tests sur les accès aux formdata (accès directs ou via le code de suivi)
  • Description updated (diff)

Tu as raison c'est plutôt confus, j'essaie d'améliorer.

Also available in: Atom PDF