API per verifiche prima e dopo Guardian

angus · 8 Maggio 2024, 11:53am

Qualcosa che ho riscontrato alcune volte durante la creazione di plugin è la necessità di modificare l’esito dei controlli can_* di Guardian. L’ho riscontrato di nuovo nel plugin ActivityPub:

https://github.com/discourse/discourse-activity-pub/blob/main/extensions/discourse_activity_pub_guardian_extension.rb

Ho appena sollevato una bozza di PR che aggiunge un nuovo metodo API lato server che consente di registrare controlli prima e dopo i metodi can_* di guardian, offrendo la possibilità di modificare l’esito del metodo. Ad esempio:

add_guardian_check(:before, :edit_post) do |guardian, result, post|
  !post.activity_pub_remote?
end

github.com/discourse/discourse

Add before and after guardian checks

main ← angusmcleod:add_plugin_api_to_guardian

opened 11:46AM - 08 May 24 UTC

angusmcleod

+92 -0

Adds a system to allow plugins to more easily modify guardian `can_` method outc…omes. ### Example Currently the only way to modify guardian `can_` method outcomes is via module pre-pension, for example: ``` module DiscourseActivityPubGuardianExtension def can_edit_post?(post) return false if post.activity_pub_remote? super end def can_change_post_owner? return false if activity_pub_enabled_topic? super end def activity_pub_enabled_topic? return false unless DiscourseActivityPub.enabled && request&.params&.[]("topic_id") topic = Topic.find_by(id: request.params["topic_id"].to_i) topic&.activity_pub_enabled end end ... Guardian.prepend DiscourseActivityPubGuardianExtension ``` [See further](https://github.com/discourse/discourse-activity-pub/blob/main/extensions/discourse_activity_pub_guardian_extension.rb) This change would mean the above could be done via the plugin api like so: ``` add_guardian_check(:before, :edit_post) do |guardian, result, post| !post.activity_pub_remote? end add_guardian_check(:before, :change_post_owner) do |guardian| return true unless DiscourseActivityPub.enabled && guardian.request&.params&.[]("topic_id") topic = Topic.find_by(id: guardian.request.params["topic_id"].to_i) !topic&.activity_pub_enabled end ```

Sono curioso di ricevere feedback sia sull’approccio che sull’esecuzione prima di pubblicarlo per la revisione.

angus · 8 Luglio 2024, 6:36am

Sto solo riportando questo in alto per chiunque sia pertinente. cc @pmusaraj

pmusaraj · 26 Luglio 2024, 5:27pm

Grazie, Angus!

Non vedo problemi con la registrazione before_*. La registrazione after_* è un po’ più complicata. Dal punto di vista della sicurezza, la registrazione after_* significa che i plugin possono sovrascrivere il core in modi che potrebbero essere non sicuri. Ovviamente i plugin possono farlo in molti modi, ma l’API dei plugin non dovrebbe facilitarlo ulteriormente.

Inoltre, cosa succede se più plugin consumano l’hook after_*? Quale vince?

angus · 29 Luglio 2024, 8:02am

Sì, capisco cosa intendi.

I controlli accettano un argomento di priorità. Vedi questa specifica

it "rispetta la priorità del controllo" do
  plugin.add_guardian_check(:after, :edit_post, 2) { false }
  plugin.add_guardian_check(:after, :edit_post, 0) { true }
  plugin.add_guardian_check(:after, :edit_post, 1) { false }
  expect(Guardian.new(user).can_edit_post?(post)).to be_truthy
end

Che ne dici se limito questo PR solo ai controlli before? Ciò soddisferebbe le esigenze immediate e ridurrebbe un po’ le variabili in gioco qui.

pmusaraj · 29 Luglio 2024, 2:20pm

Sì, certo, iniziamo solo con i controlli before. Grazie!

Argomento		Risposte	Visualizzazioni
How to customize / override topic guardian through a plugin Dev	4	774	Febbraio 15, 2021
Change topic timestamp results in 403 (Forbidden) Dev	10	1286	Novembre 6, 2016
Overriding user_guardian.rb in a plugin (no fork necessary!) Dev	23	2740	Agosto 29, 2025
Allow specifiy user different from guardian.user in chat services such as Chat::CreateMessage Feature chat	4	584	Dicembre 8, 2023
How can I write a plugin to allow TL1 to ignore users? Dev	2	1270	Febbraio 15, 2021

API per verifiche prima e dopo Guardian

Argomenti correlati