Verificação de antes e depois do API Guardian

angus · Maio 8, 2024, 11:53am

Algo que encontrei algumas vezes ao construir plugins é a necessidade de modificar o resultado das verificações can_* do Guardian. Encontrei novamente no Plugin ActivityPub:

https://github.com/discourse/discourse-activity-pub/blob/main/extensions/discourse_activity_pub_guardian_extension.rb

Acabei de levantar um PR rascunho que adiciona um novo método de API de plugin do lado do servidor que permite registrar verificações antes e depois dos métodos can_* do guardian, oferecendo a capacidade de alterar o resultado do método. Por exemplo

add_guardian_check(:before, :edit_post) do |guardian, result, post|
  !post.activity_pub_remote?
end

github.com/discourse/discourse

Add before and after guardian checks

main ← angusmcleod:add_plugin_api_to_guardian

opened 11:46AM - 08 May 24 UTC

angusmcleod

+92 -0

Adds a system to allow plugins to more easily modify guardian `can_` method outc…omes. ### Example Currently the only way to modify guardian `can_` method outcomes is via module pre-pension, for example: ``` module DiscourseActivityPubGuardianExtension def can_edit_post?(post) return false if post.activity_pub_remote? super end def can_change_post_owner? return false if activity_pub_enabled_topic? super end def activity_pub_enabled_topic? return false unless DiscourseActivityPub.enabled && request&.params&.[]("topic_id") topic = Topic.find_by(id: request.params["topic_id"].to_i) topic&.activity_pub_enabled end end ... Guardian.prepend DiscourseActivityPubGuardianExtension ``` [See further](https://github.com/discourse/discourse-activity-pub/blob/main/extensions/discourse_activity_pub_guardian_extension.rb) This change would mean the above could be done via the plugin api like so: ``` add_guardian_check(:before, :edit_post) do |guardian, result, post| !post.activity_pub_remote? end add_guardian_check(:before, :change_post_owner) do |guardian| return true unless DiscourseActivityPub.enabled && guardian.request&.params&.[]("topic_id") topic = Topic.find_by(id: guardian.request.params["topic_id"].to_i) !topic&.activity_pub_enabled end ```

Estou curioso para obter feedback sobre a abordagem e a execução antes de publicá-la para revisão.

angus · Julho 8, 2024, 6:36am

Apenas trazendo este de volta para quem for relevante. cc @pmusaraj

pmusaraj · Julho 26, 2024, 5:27pm

Obrigado, Angus!

Não vejo nenhum problema com o registro before_*. O registro after_* é um pouco mais complicado. Em termos de segurança, o registro after_* significa que os plugins podem substituir o núcleo de maneiras que podem ser inseguras. Obviamente, os plugins podem fazer isso de várias maneiras, mas a API de plugins não deve facilitar isso ainda mais.

Além disso, o que acontece se vários plugins consumirem o hook after_*? Qual deles vence?

angus · Julho 29, 2024, 8:02am

Sim, entendo o que você quer dizer.

As verificações aceitam um argumento de prioridade. Veja esta especificação

it "respeita a prioridade da verificação" do
  plugin.add_guardian_check(:after, :edit_post, 2) { false }
  plugin.add_guardian_check(:after, :edit_post, 0) { true }
  plugin.add_guardian_check(:after, :edit_post, 1) { false }
  expect(Guardian.new(user).can_edit_post?(post)).to be_truthy
end

Que tal eu limitar este PR apenas às verificações before? Isso atenderia às necessidades imediatas e reduziria um pouco as variáveis em jogo aqui.

pmusaraj · Julho 29, 2024, 2:20pm

Sim, claro, vamos começar apenas com as verificações before. Obrigado!

Tópico		Respostas	Visualizações
How to customize / override topic guardian through a plugin Dev	4	774	15 de Fevereiro de 2021
Change topic timestamp results in 403 (Forbidden) Dev	10	1286	6 de Novembro de 2016
Overriding user_guardian.rb in a plugin (no fork necessary!) Dev	23	2740	29 de Agosto de 2025
Allow specifiy user different from guardian.user in chat services such as Chat::CreateMessage Feature chat	4	584	8 de Dezembro de 2023
How can I write a plugin to allow TL1 to ignore users? Dev	2	1270	15 de Fevereiro de 2021

Verificação de antes e depois do API Guardian

Tópicos relacionados