Il faut soit prévoir un PARAMÈTRE pour désactiver les e-mails de confirmation, soit des e-mails de confirmation spécifiquement pour la révocation de l’administrateur, car j’ai configuré une modification des droits d’administrateur via l’API et je ne peux pas l’utiliser fonctionnellement avec le système. J’ai perdu l’accès administrateur de mon propre compte à cause de cela, ainsi que ceux de plusieurs autres utilisateurs, car cela nécessite une confirmation par e-mail, alors que le système ne semble pas avoir envoyé d’e-mail de confirmation d’une manière ou d’une autre ? De plus, la révocation n’a absolument pas besoin d’une telle confirmation.
Je préférerais grandement qu’il existe un paramètre pour désactiver la confirmation au niveau de l’API.
Je viens de tester cela sur mon propre site. La révocation du statut d’administrateur via l’API s’effectue en envoyant une requête PUT vers https://forum.votredomaine.com/admin/users/<user_id>/revoke_admin. Lorsque j’essaie cela, le statut d’administrateur est révoqué et aucune confirmation par email n’est requise. Je constate cependant quelques problèmes avec la réponse envoyée par Discourse pour cette requête.
Si l’utilisateur a un statut d’administrateur, je reçois une réponse vide au lieu d’un message de succès lorsque je révoque son statut d’administrateur via l’API.
Si l’utilisateur n’a pas de statut d’administrateur, je reçois une réponse HTML si la requête PUT est envoyée vers https://forum.votredomaine.com/admin/users/<user_id>/revoke_admin, et une erreur invalid access si j’envoie la requête vers https://forum.votredomaine.com/admin/users/<user_id>/revoke_admin.json.
Il serait préférable d’obtenir des messages de succès et d’échec informatifs pour cette route.
Je ne suis pas certain qu’il faille permettre l’octroi d’un statut d’administrateur sans confirmation par email. Le fonctionnement actuel vise à fournir une couche de sécurité supplémentaire.
C’est exactement le problème : la révocation ne nécessite pas de confirmation, mais en donner une en crée une. Si vous n’en êtes pas conscient, vous pouvez révoquer par accident TOUS les administrateurs de votre instance Discourse et vous retrouver sans aucun recours pour les rétablir…
Si vous exigez une confirmation pour l’une des actions, l’autre devrait également en avoir une.
Il n’existe également aucun moyen de désactiver cette vérification, ce qui signifie que vous pouvez accorder directement des droits d’administrateur via l’API si vous disposez d’un administrateur disposant de tous les pouvoirs.