Produits Entr'ouvert » w.c.s.

Ce serait juste comme /list, avec des champs en moins ? Ou tu imagines aussi faire sauter le self.formdef.is_of_concern_for_user ?

On fait sauter toutes les ACLs, seul la signature est vérifiée. C'est pas open bar mais presque. C'est vraiment pour faciliter l'export pour faire des stats automatisées sans avoir à choisir un utilisateur et lui filer tous les rôles.

On pourrait spécialiser /list et dire que si NameID est vide alors supprimer des champs etc.. mais je trouve moins casse gueule de construire un truc propre à coté que de rajouter des conditions.

ok, ça marche pour moi.

J'ai rebasé, tous les tests passent toujours.

Des détails d'abord :

Je mettrais 0003 et 0004 ensemble, parce que le changement sur la sécurité de 0003 s'explique par 0004 (parce qu'on veut un objet ApiFormPage sans vérification d'accès, pour la nouvelle méthode).

Le _q_exports le commentaire s'appliquat à sa totalité, ici il pourrait devenir :

_q_exports = [('list', 'json'), 'anonymised'] # restrict to API endpoints

(pas besoin de tuple pour le 'anonymised', il est utilisé pour ('list', 'json') pour avoir un nom différent.)

Et le fond sur la fin : c'est vraiment dommage que ce endpoint ne puisse pas prendre les filtres que le endpoint "list" autorise, pourquoi pas :

def anonymed(self):
    return self.json(anonymised=True)

Et les modifs nécessaires à la méthode json de backoffice/management.py, bien sûr, genre ignorer la recherche plein texte (et ça doit être tout, les autres critères sont sur des valeurs qui ne sont pas anonymisées, listes et date de réception).

Frédéric Péters a écrit :

Et les modifs nécessaires à la méthode json de backoffice/management.py, bien sûr, genre ignorer la recherche plein texte (et ça doit être tout, les autres critères sont sur des valeurs qui ne sont pas anonymisées, listes et date de réception).

Le problème c'est que FormDefUI.get_listing_items() veut absolument trouver un user pour je suppose filtrer les formulaires visibles.

¹

            # as we are in the backoffice, we don't have to care about the
            # situation where the user is the submitter, and we limit ourselves
            # to consider treating roles.
            user = user or get_request().user
            if not user.is_admin:
                user_roles = set(user.roles or [])
                concerned_ids = set()
                for role in user_roles:
                    concerned_ids |= set(formdata_class.get_ids_with_indexed_value(
                        'concerned_roles', str(role)))
                item_ids = list(set(item_ids).intersection(concerned_ids))

J'ai un peu peur de toucher à cela.

J'ajouterais juste un anonymised=False aux arguments et quand il est mis, je ne rentrerais pas dans cette branche. (comme on ne considère de toute façon pas les permissions lors de cette récupération anonyme).

Les APIs « List de formulaires » et le mode Pull de récupération d'un formulaire accepte un

Pas de s derrière "Les API" (ça se pratique en anglais, pas en français), mais un e à Liste et un nt à acceptent.

À part ça me semble ok.