How to define custom permissions for staff, admins, moderators

merefield · 12 Diciembre, 2020 13:56

Sorry old post but why don’t you set up your theme as a repo in GitHub? Permission your design and UX team to have access to update the Theme in GitHub.

In Discourse you can now set Themes to auto update upon rebuild.

Your admins will now only need to rebuild to bring in any changes made by the Design and UX team and the latter will not need access to admin at all.

neounix · 13 Diciembre, 2020 02:32

Just a short note:

When coding matters of access control, in general, these RBAC checks should be performed on the server side.

RBAC code in client-side Javascript can be manipulated by the client.

This means that when defining core RBAC permissions for staff, admins and moderators, this should be done (generally speaking) in Rails, not in Javascript.

OBTW, this is also how Discourse does RBAC now, using what Discourse calls “guardian”, a Ruby class called class Guardian, here:

https://github.com/discourse/discourse/blob/master/lib/guardian.rb

If a developer is going to add RBAC checks in Javascript code by calling the Discourse API, keep in mind that this code can be compromised because code which runs in the browser can be manipulated.

My recommendation is to make sure all core RBAC code is performed on the server side and do not try to short cut this in client-side Javascript.

codinghorror · 17 Diciembre, 2020 06:31

There is also trust level 4 and category moderators, in discourse 2.5 and beyond.

nicolailang · 5 Junio, 2021 09:43

I have a similar use case, in that I run a small non-profit community where one of our users is maintaining the themes and design.

I do not wish to give anyone beside me and my co-owner access to private user data (e-mail addresses etc.), but I do have 4 moderators.

In order for the designer to work, I’ve had to create a copy site with no content where he is the admin, and I then copy themes and components manually. However it is not desirable since some changes requires content in order to proof.

codinghorror · 6 Junio, 2021 21:13

Why not add some content to the staging / testing site? That’d be the typical recommendation.

pfaffman · 7 Junio, 2021 01:03

So let the developer develop on the staging site, and push the themes to github. But you’ll still need to upgrade them yourself. You might contrive to do the upgrade with the API and somehow make the developer be able to trigger it.

I’m working of a tool that might be able to help with that.

AV_C · 9 Marzo, 2023 15:37

Nosotros tenemos exactamente esta misma necesidad, ¿alguien ha resuelto esto por casualidad?

JammyDodger · 9 Marzo, 2023 16:06

No sé si esto es útil en esta situación, pero si solo necesitas algo de contenido, existe la tarea populate de rake:

Nathan Kershaw:

Rellenar un servidor de prueba

Si quieres un servidor de staging, entonces deberías rellenarlo con tus datos reales de tu foro real mediante una Restore. A veces son tus datos particulares los que causan el problema, y probar tu foro con otro conjunto de datos puede darte una falsa sensación de esperanza.

Sin embargo, si lo que quieres es un servidor de prueba para ver cómo es Discourse, quizás quieras comprobar las cosas con datos falsos, y si lo haces, puedes hacer esto:
./launcher enter app
ALLOW_DEV_POPULATE=1 bundle install
ALLOW_DEV_POPULATE=1 rake dev:populate
Esto rellenará tu foro con algunos datos falsos para que puedas ver cómo se ven las cosas con los temas y plugins que quieras. Si aún no has iniciado tu foro, esto te dará una idea de cómo se verán las cosas.

AV_C · 9 Marzo, 2023 16:40

Gracias, desafortunadamente no es realmente útil en este momento.

pfaffman · 9 Marzo, 2023 16:44

Si no confías en que el diseñador vea tus datos, ¿qué solución te imaginarías?
¿Podrías darle solo una clave de API que le permitiera usar el discourse_cli para enviarlo allí y luego deshabilitarla cuando haya terminado, tal vez?

AV_C · 9 Marzo, 2023 17:09

No hay absolutamente ninguna razón para que un diseñador tenga acceso a 100.000 usuarios, lol. Además, iría en contra de las normas del RGPD. ¿Es posible dar una clave de CLI solo para las actualizaciones de temas?

pfaffman · 9 Marzo, 2023 17:17

¡Disculpe! Creo que tiene razón.

Ahora, a diferencia de cuando se creó este tema (que aparentemente era donde estaba mi cerebro cuando escribí mi respuesta), sí tenemos claves de API granulares. No debería ser muy difícil agregar un nuevo ámbito solo para la gestión de temas.

Podría valer la pena crear un nuevo tema en Feature solicitando un ámbito de clave de API para desarrolladores de temas. Esa parece una buena idea.

Jagster · 9 Marzo, 2023 17:58

No, no lo es. Puede ir en contra de las normas de ese sitio, pero estas pueden y deben cambiar.

Heliosurge · 9 Marzo, 2023 19:10

Sería bueno si @AV_C pudiera publicar una referencia a este requisito. Aunque puedo apreciar enormemente por qué un cliente querría restringir el acceso a la base de usuarios e incluso a categorías privadas debido a una variedad de razones. El administrador completo puede acceder a los correos electrónicos de registro de los miembros y las categorías privadas pueden contener otro contenido sensible dependiendo del caso de uso del cliente.

Creo que @pfaffman tiene una buena idea para garantizar que este tipo de brecha pueda cubrirse a través de una API de administrador restringida. Una vez completado el trabajo de diseño, la clave se puede revocar hasta que sea necesaria.

Esto también encajaría con la idea de Jay de no mostrar a un usuario como administrador en la página Acerca de.

Tema		Respuestas	Vistas
Admin Restrictions? Feature	22	6477	17 Octubre 2024
Grant customization rights to a non-admin Support	4	447	30 Abril 2023
Restrict themes to certain groups? Support	8	1148	20 Septiembre 2022
Allow moderators to create groups Feature	47	8288	11 Abril 2023
"Regular mode" for admins and moderators (e.g. something like "sudo") Feature	33	3153	6 Diciembre 2024

How to define custom permissions for staff, admins, moderators

Temas relacionados