Es muss entweder eine EINSTELLUNG zum Deaktivieren von Bestätigungs-E-Mails geben oder Bestätigungs-E-Mails für das Entziehen von Admin-Rechten, da ich etwas eingerichtet habe, um Admin-Rechte über die API zu ändern, und dies funktional im System nicht nutzen kann. Dadurch habe ich den Admin-Zugang auf meinem eigenen Konto verloren, ebenso wie mehrere andere Nutzer, da eine E-Mail-Bestätigung erforderlich ist, für die das System jedoch aus irgendeinem Grund keine E-Mail erhielt. Zudem ist eine Bestätigung für das Entziehen von Admin-Rechten absolut nicht nötig.
Am liebsten wäre mir eine Einstellung, um Bestätigungen auf API-Ebene zu deaktivieren.
Ich habe das gerade auf meiner eigenen Seite getestet. Das Widerrufen von Admin-Rechten über die API erfolgt durch eine PUT-Anfrage an https://forum.yourdomain.com/admin/users/<user_id>/revoke_admin. Wenn ich das versuche, werden die Admin-Rechte entzogen, und es ist keine E-Mail-Bestätigung erforderlich. Allerdings stelle ich bei der Antwort fest, die Discourse für diese Anfrage sendet, einige Probleme.
Wenn der Benutzer tatsächlich Admin-Rechte hat, erhalte ich beim Widerrufen dieser Rechte über die API eine leere Antwort statt einer Bestätigungsmeldung.
Wenn der Benutzer keine Admin-Rechte hat, erhalte ich eine HTML-Antwort, wenn die PUT-Anfrage an https://forum.yourdomain.com/admin/users/<user_id>/revoke_admin gesendet wird, und einen Fehler invalid access, wenn ich die Anfrage an https://forum.yourdomain.com/admin/users/<user_id>/revoke_admin.json sende.
Es wäre wünschenswert, für diese Route aussagekräftige Erfolgs- und Fehlermeldungen zu erhalten.
Ich bin mir nicht sicher, ob das Erteilen von Admin-Rechten ohne Bestätigung per E-Mail erlaubt werden sollte. Die aktuelle Funktionsweise soll eine zusätzliche Sicherheitsebene bieten.
Genau das ist das Problem: Wenn ein Widerruf keinen Bestätigungscode benötigt, aber die Vergabe eines solchen doch erfordert, kann man versehentlich ALLE Administratoren von seinem Discourse-Forum widerrufen und hat keinerlei Möglichkeit, sie wieder hinzuzufügen.
Wenn für die Vergabe eines Bestätigungscode zwingend erforderlich ist, sollte dies auch für den Widerruf gelten.
Außerdem gibt es keine Möglichkeit, diese Verifizierung abzuschalten. Falls man einen Administrator mit allen Rechten hat, kann man ihm daher über die API direkt Admin-Rechte erteilen.