O caso de uso é a sincronização com a tradução – veja
Gostaria de provisionar uma chave de API que possa ler e escrever textos personalizados, mas sem o poder de fazer qualquer outra coisa.
Embora a leitura de todas as strings substituídas seja provavelmente inofensiva, também seria bom adicionar restrições adicionais às gravações com base em um idioma principal — no meu caso, o inglês. Isso:
- impediria gravações em strings nesse idioma
- permitiria gravações em strings em outros idiomas somente se a string no idioma principal não for padrão
- permitiria a redefinição de strings em idiomas não primários para seus padrões
(A terceira regra permitiria a redefinição mesmo que a string no idioma principal seja personalizada; isso permitiria que as traduções fossem removidas se necessário por algum motivo.)
Simplesmente um escopo restringindo o acesso apenas a/admin/customize/site_textsseria um bom primeiro passo. No entanto, restrições adicionais (configuráveis) em gravações desite_text[locale]e até mesmo em certossite_text[value]parecem eventualmente importantes, porque se tal chave vazar ou for roubada, ela pode ser usada para desfigurar um site (ou inserir links de spam muito sorrateiros, etc.).