Проверить работу ACL
Closed this issue · 8 comments
В статьях и прочих режимах, для анонимусов и авторизованных, из 1С и браузера
Роли текущего пользователя видны в $p.superlogin.getSession()
Проверял на статье https://business-programming.ru/articles/check_data_pay.
Поставил в ней одну роль - r_subscribers, зашел в инкогнито, без авторизации - статья видна в списке, зайти в нее получилось.
Спасибо.
Список https://business-programming.ru/articles/ фильтруется нормально - там статьи нет.
Запрос к оглавлению поправлю.
Там c ACL всё в порядке, но индекс прикольный - он готовую иерархию хранит. Отфильтрую на стороне браузера. Безопасность не пострадает.
да список пофиг, я его так, к слову упомянул. Главное - статья доступна для прочтения анонимусу.
#334
oknosoft/covercouch@4470c0e
oknosoft/covercouch@7008268
Должно заработать и в списке и для конкретного документа.
Документ check_data_pay сейчас не виден даже в списке редактирования и недоступен для изменения из интерфейса. Ты выстрелил себе в ногу, оставив единственную роль r_subscribers
, которой нет у пользователя nmivan
.
Добавить себе роль и отредактировать acl документа можно через futon.
Доступ к футону надо будет ограничить по ip, чтобы пользователи не могли со своей учеткой обойти acl-proxy business-programming.ru/couchdb/fl_
я думал, там как в 1С, права более высокого уровня включают в себя права более низких уровней доступа.
права более высокого уровня
А уровень по буквам в названии роли определять?
Так сделать можно, но текущий алгоритм мне нравится больше.