Проверить работу ACL

Question

Проверить работу ACL

Closed this issue 6 years ago · 8 comments

В статьях и прочих режимах, для анонимусов и авторизованных, из 1С и браузера

Answer 1 · 2018-11-07T05:57:39.000Z

Роли текущего пользователя видны в $p.superlogin.getSession()

Answer 2 · 2018-11-08T08:14:22.000Z

Проверял на статье https://business-programming.ru/articles/check_data_pay.
Поставил в ней одну роль - r_subscribers, зашел в инкогнито, без авторизации - статья видна в списке, зайти в нее получилось.

Answer 3 · 2018-11-08T08:27:55.000Z

Спасибо.
Список https://business-programming.ru/articles/ фильтруется нормально - там статьи нет.
Запрос к оглавлению поправлю.

Answer 4 · 2018-11-08T08:47:35.000Z

Там c ACL всё в порядке, но индекс прикольный - он готовую иерархию хранит. Отфильтрую на стороне браузера. Безопасность не пострадает.

Answer 5 · 2018-11-08T09:00:48.000Z

да список пофиг, я его так, к слову упомянул. Главное - статья доступна для прочтения анонимусу.

Answer 6 · 2018-11-08T11:08:34.000Z

#334
oknosoft/covercouch@4470c0e
oknosoft/covercouch@7008268

Должно заработать и в списке и для конкретного документа.
Документ check_data_pay сейчас не виден даже в списке редактирования и недоступен для изменения из интерфейса. Ты выстрелил себе в ногу, оставив единственную роль r_subscribers, которой нет у пользователя nmivan.
Добавить себе роль и отредактировать acl документа можно через futon.
Доступ к футону надо будет ограничить по ip, чтобы пользователи не могли со своей учеткой обойти acl-proxy business-programming.ru/couchdb/fl_

Answer 7 · 2018-11-08T11:10:48.000Z

я думал, там как в 1С, права более высокого уровня включают в себя права более низких уровней доступа.

Answer 8 · 2018-11-08T11:20:32.000Z

права более высокого уровня

А уровень по буквам в названии роли определять?
Так сделать можно, но текущий алгоритм мне нравится больше.