O dovrebbe esserci un’impostazione per disattivare le email di conferma, oppure email di conferma specifiche per la revoca dell’amministratore, perché ho configurato qualcosa per modificare l’amministratore tramite API e non riesco a utilizzarlo funzionalmente con il sistema, perdendo i privilegi di amministratore sul mio account a causa di ciò, così come diversi altri, poiché richiede una conferma via email, che il sistema non ha fornito in qualche modo? E inoltre, la revoca non ha assolutamente bisogno di una conferma.
Preferirei di gran lunga che ci fosse un’impostazione per disattivare la conferma su base API.
Ho appena testato questa funzionalità sul mio sito. La revoca dello status di amministratore tramite API viene effettuata inviando una richiesta PUT a https://forum.yourdomain.com/admin/users/<user_id>/revoke_admin. Quando provo a farlo, lo status di amministratore viene revocato e non è richiesta alcuna conferma via email. Tuttavia, ho notato alcuni problemi nella risposta inviata da Discourse per questa richiesta.
Se l’utente ha lo status di amministratore, ottengo una risposta vuota invece di un messaggio di successo quando revoco il suo status tramite API.
Se l’utente non ha lo status di amministratore, ricevo una risposta HTML se la richiesta PUT viene inviata a https://forum.yourdomain.com/admin/users/<user_id>/revoke_admin e un errore invalid access se invio la richiesta a https://forum.yourdomain.com/admin/users/<user_id>/revoke_admin.json.
Sarebbe utile ottenere messaggi informativi di successo e di fallimento per questa rotta.
Non sono sicuro che sia corretto permettere la concessione dello status di amministratore senza una conferma via email. Il funzionamento attuale è pensato per fornire un ulteriore livello di sicurezza.
Esattamente il problema con il fatto che revocare non ne richieda uno, mentre concederlo sì. Se non ne sei a conoscenza, puoi per errore revocare TUTTI gli amministratori del tuo Discourse e non avere alcun rimedio per aggiungerli di nuovo…
Se si rende obbligatorio averne uno per verificare, anche l’altro dovrebbe avere una verifica.
Inoltre, non esiste la possibilità di disattivare questa verifica, quindi è possibile concedere i privilegi di amministratore direttamente tramite API se si dispone di un amministratore con tutti i poteri.