كيفية تحديد أذونات مخصصة للموظفين والمدراء والمشرفين

merefield · 12 ديسمبر 2020، 1:56م

Sorry old post but why don’t you set up your theme as a repo in GitHub? Permission your design and UX team to have access to update the Theme in GitHub.

In Discourse you can now set Themes to auto update upon rebuild.

Your admins will now only need to rebuild to bring in any changes made by the Design and UX team and the latter will not need access to admin at all.

neounix · 13 ديسمبر 2020، 2:32ص

Just a short note:

When coding matters of access control, in general, these RBAC checks should be performed on the server side.

RBAC code in client-side Javascript can be manipulated by the client.

This means that when defining core RBAC permissions for staff, admins and moderators, this should be done (generally speaking) in Rails, not in Javascript.

OBTW, this is also how Discourse does RBAC now, using what Discourse calls “guardian”, a Ruby class called class Guardian, here:

github.com/discourse/discourse

lib/guardian.rb

main

# frozen_string_literal: true

require "guardian/bookmark_guardian"
require "guardian/category_guardian"
require "guardian/ensure_magic"
require "guardian/group_guardian"
require "guardian/invite_guardian"
require "guardian/flag_guardian"
require "guardian/post_guardian"
require "guardian/post_revision_guardian"
require "guardian/sidebar_guardian"
require "guardian/tag_guardian"
require "guardian/topic_guardian"
require "guardian/user_guardian"
require "guardian/localization_guardian"

# The guardian is responsible for confirming access to various site resources and operations
class Guardian
  include BookmarkGuardian
  include CategoryGuardian

This file has been truncated. show original

If a developer is going to add RBAC checks in Javascript code by calling the Discourse API, keep in mind that this code can be compromised because code which runs in the browser can be manipulated.

My recommendation is to make sure all core RBAC code is performed on the server side and do not try to short cut this in client-side Javascript.

codinghorror · 17 ديسمبر 2020، 6:31ص

There is also trust level 4 and category moderators, in discourse 2.5 and beyond.

nicolailang · 5 يونيو 2021، 9:43ص

لدي حالة استخدام مشابهة، حيث أدير مجتمعًا غير ربحي صغيرًا، ويقوم أحد مستخدمينا بصيانة السمات والتصميم.

لا أرغب في منح أي شخص غيري وشريك الملكية الوصول إلى بيانات المستخدمين الخاصة (مثل عناوين البريد الإلكتروني وما إلى ذلك)، لكن لدي 4 مشرفين.

من أجل تمكين المصمم من العمل، اضطرت لإنشاء موقع نسخة بدون محتوى ليكون هو المدير فيه، ثم أقوم بنسخ السمات والمكونات يدويًا. ومع ذلك، فإن هذا غير مرغوب فيه لأن بعض التغييرات تتطلب محتوى لإثباتها.

codinghorror · 6 يونيو 2021، 9:13م

لماذا لا تضيف بعض المحتوى إلى موقع المرحلة التجريبية / الاختبار؟ هذه هي التوصية النموذجية.

pfaffman · 7 يونيو 2021، 1:03ص

لذا، دع المطور يعمل على موقع الاختبار (staging) ويدفع السمات إلى GitHub. لكنك ستظل بحاجة إلى ترقيتها بنفسك. قد تتمكن من إجراء الترقية باستخدام واجهة برمجة التطبيقات (API) وجعل المطور قادرًا على تشغيلها بطريقة ما.

أعمل حاليًا على أداة قد تكون قادرة على المساعدة في ذلك.

AV_C · 9 مارس 2023، 3:37م

لدينا هذه الحاجة بالضبط أيضًا، هل قام أي شخص بحلها بالصدفة؟

JammyDodger · 9 مارس 2023، 4:06م

لا أعرف ما إذا كان هذا مفيدًا في هذا الموقف، ولكن إذا كنت تحتاج فقط إلى بعض المحتوى، فهناك مهمة populate في rake:

Nathan Kershaw:

تهيئة خادم اختبار

إذا كنت تريد خادم مرحلة، فيجب عليك تهيئته ببياناتك الفعلية من منتدىك الفعلي عبر Restore. في بعض الأحيان تكون بياناتك الخاصة هي التي تسبب المشكلة، واختبار منتدىك بمجموعة بيانات أخرى يمكن أن يمنحك شعورًا بالأمل الزائف.
إذا كان ما تريده هو خادم اختبار لمعرفة كيف يبدو Discourse، فقد ترغب في التحقق من الأشياء ببعض البيانات الوهمية، وإذا فعلت ذلك، يمكنك القيام بما يلي:
./launcher enter app
ALLOW_DEV_POPULATE=1 bundle install
ALLOW_DEV_POPULATE=1 rake dev:populate
سيؤدي هذا إلى تهيئة منتدىك ببعض البيانات الوهمية حتى تتمكن من رؤية كيف تبدو الأشياء مع أي سمات وإضافات تريدها. إذا لم تكن قد بدأت منتدىك بعد، فسيعطيك هذا فكرة عما ستبدو عليه الأشياء على الأرجح.

AV_C · 9 مارس 2023، 4:40م

شكرًا لك، للأسف ليس مفيدًا حقًا في الوقت الحالي.

pfaffman · 9 مارس 2023، 4:44م

إذا كنت لا تثق في المصمم لرؤية بياناتك، فما هو الحل الذي تتخيله؟
هل يمكنك فقط تزويدهم بمفتاح API يسمح لهم باستخدام discourse_cli لدفع السمة إلى هناك، ثم تعطيله عندما ينتهون، ربما؟

AV_C · 9 مارس 2023، 5:09م

لا يوجد سبب على الإطلاق لأن يتمكن المصمم من الوصول إلى 100 ألف مستخدم هههه. علاوة على ذلك، سيكون ذلك ضد قواعد اللائحة العامة لحماية البيانات. هل من الممكن إعطاء مفتاح سطر أوامر لتحديثات السمات فقط؟

pfaffman · 9 مارس 2023، 5:17م

عذراً! أعتقد أنك على حق.

الآن، على عكس وقت إنشاء هذا الموضوع (والذي يبدو أنه كان المكان الذي كان فيه عقلي عندما كتبت ردي)، لدينا بالفعل مفاتيح API مفصلة. لا ينبغي أن يكون من الصعب إضافة نطاق جديد فقط لإدارة السمات.

قد يكون من المفيد إنشاء موضوع جديد في Feature للمطالبة بنطاق مفتاح API لمطور السمات. تبدو هذه فكرة جيدة.

Jagster · 9 مارس 2023، 5:58م

لا، ليس كذلك. قد يكون ضد قواعد ذلك الموقع، ولكن يمكن ويجب تغييرها.

Heliosurge · 9 مارس 2023، 7:10م

سيكون من الجيد لو تمكن @AV_C من نشر مرجع لهذا المتطلب. على الرغم من أنني أقدر بشدة سبب رغبة العميل في تقييد الوصول إلى قاعدة المستخدمين وحتى الفئات الخاصة لأسباب متنوعة. يمكن للمسؤول الكامل الوصول إلى رسائل البريد الإلكتروني لتسجيل الأعضاء وقد تحتوي الفئات الخاصة على محتوى حساس آخر اعتمادًا على حالة استخدام العميل.

أعتقد أن @pfaffman لديه فكرة جيدة لضمان تغطية هذا النوع من الثغرات من خلال واجهة برمجة تطبيقات مسؤول مقيدة. بمجرد اكتمال عمل المصمم، يمكن إلغاء المفتاح حتى الحاجة إليه.

سيتناسب هذا أيضًا مع فكرة جاي بعدم إظهار المستخدم كمسؤول في صفحة “حول”.

الموضوع		الردود	مرات العرض
Admin Restrictions? Feature	22	6549	17 أكتوبر 2024
Grant customization rights to a non-admin Support	4	462	30 أبريل 2023
Restrict themes to certain groups? Support	8	1167	20 سبتمبر 2022
Allow moderators to create groups Feature	47	8375	11 أبريل 2023
"Regular mode" for admins and moderators (e.g. something like "sudo") Feature	37	3375	13 ديسمبر 2025

كيفية تحديد أذونات مخصصة للموظفين والمدراء والمشرفين

الموضوعات ذات الصلة