Guardian: проверка API до и после

angus · 08.Май.2024 11:53:23

При создании плагинов я несколько раз сталкивался с необходимостью изменять результат проверок can_* в Guardian. В плагине ActivityPub я снова столкнулся с этой задачей:

https://github.com/discourse/discourse-activity-pub/blob/main/extensions/discourse_activity_pub_guardian_extension.rb

Я только что создал черновик PR, который добавляет новый метод API для серверных плагинов, позволяющий регистрировать проверки до и после выполнения методов can_* в Guardian, что даёт возможность изменять результат этих методов. Например:

add_guardian_check(:before, :edit_post) do |guardian, result, post|
  !post.activity_pub_remote?
end

github.com/discourse/discourse

Add before and after guardian checks (#26936)

main ← angusmcleod:add_plugin_api_to_guardian

closed 01:55AM - 21 Sep 24 UTC

angusmcleod

+92 -0

Adds a system to allow plugins to more easily modify guardian `can_` method outc…omes. ### Example Currently the only way to modify guardian `can_` method outcomes is via module pre-pension, for example: ``` module DiscourseActivityPubGuardianExtension def can_edit_post?(post) return false if post.activity_pub_remote? super end def can_change_post_owner? return false if activity_pub_enabled_topic? super end def activity_pub_enabled_topic? return false unless DiscourseActivityPub.enabled && request&.params&.[]("topic_id") topic = Topic.find_by(id: request.params["topic_id"].to_i) topic&.activity_pub_enabled end end ... Guardian.prepend DiscourseActivityPubGuardianExtension ``` [See further](https://github.com/discourse/discourse-activity-pub/blob/main/extensions/discourse_activity_pub_guardian_extension.rb) This change would mean the above could be done via the plugin api like so: ``` add_guardian_check(:before, :edit_post) do |guardian, result, post| !post.activity_pub_remote? end add_guardian_check(:before, :change_post_owner) do |guardian| return true unless DiscourseActivityPub.enabled && guardian.request&.params&.[]("topic_id") topic = Topic.find_by(id: guardian.request.params["topic_id"].to_i) !topic&.activity_pub_enabled end ```

Буду рад получить обратную связь как по подходу, так и по реализации, прежде чем публиковать это для ревью.

angus · 08.Июль.2024 06:36:21

Ещё раз поднимаю этот вопрос для всех, кого это касается. cc @pmusaraj

pmusaraj · 26.Июль.2024 17:27:04

Спасибо, Ангус!

Я не вижу проблем с регистром before_*. С регистром after_* всё немного сложнее. С точки зрения безопасности использование регистра after_* означает, что плагины могут переопределять ядро способами, которые могут быть небезопасными. Очевидно, что плагины могут делать это множеством различных способов, но API плагинов не должен ещё больше этому способствовать.

Кроме того, что произойдёт, если несколько плагинов используют хук after_*? Кто победит?

angus · 29.Июль.2024 08:02:46

Да, я понимаю, что вы имеете в виду.

Проверки принимают аргумент приоритета. См. эту спецификацию:

it "respects check priority" do
  plugin.add_guardian_check(:after, :edit_post, 2) { false }
  plugin.add_guardian_check(:after, :edit_post, 0) { true }
  plugin.add_guardian_check(:after, :edit_post, 1) { false }
  expect(Guardian.new(user).can_edit_post?(post)).to be_truthy
end

Как насчёт того, чтобы ограничить этот PR только проверками before? Это решит текущие задачи и немного уменьшит количество переменных в игре.

pmusaraj · 29.Июль.2024 14:20:03

Да, конечно, давайте начнём только с проверок before. Спасибо!

Тема		Ответов	Просм.
How to customize / override topic guardian through a plugin Development	4	798	15.02.2021
Change topic timestamp results in 403 (Forbidden) Development	10	1320	06.11.2016
Overriding user_guardian.rb in a plugin (no fork necessary!) Development	23	2946	29.08.2025
Allow specifiy user different from guardian.user in chat services such as Chat::CreateMessage Feature chat	4	625	08.12.2023
How can I write a plugin to allow TL1 to ignore users? Development	2	1313	15.02.2021

Guardian: проверка API до и после

Связанные темы