Le cas d’utilisation est la synchronisation avec la traduction – voir
J’aimerais provisionner une clé d’API qui peut lire et écrire des textes personnalisés, mais sans avoir le pouvoir de faire quoi que ce soit d’autre.
Bien que la lecture de toutes les chaînes remplacées soit probablement inoffensive, il serait également agréable d’ajouter des restrictions supplémentaires sur les écritures basées sur une langue principale — dans mon cas, l’anglais. Cela permettrait :
- d’interdire les écritures sur les chaînes dans cette langue
- d’autoriser les écritures sur les chaînes dans d’autres langues uniquement si la chaîne de la langue principale n’est pas par défaut
- de réinitialiser les chaînes dans les langues non principales à leurs valeurs par défaut
(La troisième règle permettrait la réinitialisation même si la chaîne de la langue principale est personnalisée ; cela permettrait de supprimer les traductions si nécessaire pour une raison quelconque.)
Une simple portée restreignant l’accès uniquement à /admin/customize/site_texts serait une première étape intéressante. Cependant, des restrictions supplémentaires (configurables) sur les écritures de site_text[locale], et même sur certaines site_text[value], semblent finalement importantes, car si une telle clé fuit ou est volée, elle pourrait être utilisée pour défigurer un site (ou insérer des liens de spam très sournois, etc.).