J’ai mis à jour notre site hier et je viens de remarquer qu’un utilisateur non membre du personnel a appliqué notre balise « à la une » à son message. Cela ne devrait pas être possible, car cette balise est définie comme réservée au personnel. Lorsque je me suis connecté en son nom, j’ai effectivement pu accéder aux balises restreintes lors de la publication. J’ai essayé de reproduire le problème ici sur Meta, mais je pense que les balises ne sont pas disponibles pour les utilisateurs ordinaires ?
J’ai essayé de reproduire le problème sur mon site de développement local, mais jusqu’à présent, je n’ai pas eu de succès. Savez-vous si le problème se produit dans toutes les catégories de votre site, ou seulement dans une catégorie particulière où les utilisateurs non membres du personnel peuvent ajouter des balises de personnel ? Toute indication sur la façon de reproduire le problème serait utile.
D’accord, je vais approfondir pour voir ce qui se passe ici et je reviens vers vous. Cela peut prendre un peu de temps, cependant.
Ok, j’ai testé avec un utilisateur TL-0 et un TL-1 en mode sans échec, et j’ai accès au tag staff pour chaque catégorie de notre forum. Il en va de même pour les autres tags de notre liste réservée au personnel. J’ai également réinitialisé les permissions du groupe de tags « staff-only » sur « les tags peuvent être utilisés par tout le monde », puis de nouveau sur « seuls les groupes suivants peuvent les utiliser », mais cela n’a fait aucune différence. Y a-t-il autre chose que je pourrais tester ?
Avez-vous d’autres groupes d’étiquettes définis, ou la capture d’écran ci-dessus représente-t-elle le seul groupe sur votre site ? Les utilisateurs avec lesquels vous avez testé cela sont-ils membres d’autres groupes ?
Il est possible de créer plusieurs groupes d’étiquettes avec des règles contradictoires. Si un utilisateur a la permission d’utiliser une étiquette dans n’importe quel groupe d’étiquettes, cela annulera les règles de tout autre groupe indiquant qu’il ne peut pas l’utiliser.
Quand vous dites « accès », voulez-vous dire que vous pouvez les ajouter aux sujets, ou que vous pouvez les voir et cliquer dessus, etc. ?
Les étiquettes de votre groupe d’étiquettes « Étiquettes du personnel » (ba-tips, cant-reproduce, featured, etc.) ne peuvent être ajoutées aux sujets que par des utilisateurs appartenant au groupe staff, mais elles sont visibles par tout le monde. Cela signifie que n’importe qui peut voir ces étiquettes en haut des sujets, cliquer sur une étiquette pour voir d’autres sujets tagués avec celle-ci, etc.
Si un utilisateur TL0 peut ajouter une étiquette « Étiquettes du personnel » (par exemple, « ba-tips ») à un sujet, c’est un problème. J’ai recréé les étiquettes et les groupes d’étiquettes conformément à vos captures d’écran sur mon instance Discourse locale (en limitant les étiquettes de chaque groupe aux trois premières de chacune des captures d’écran ci-dessus), et mes utilisateurs TL0/TL1 ne parviennent pas à ajouter « ba-tips » à un sujet via le bouton « Nouveau sujet » ni en créant un sujet puis en le modifiant. Pouvez-vous ajouter ces étiquettes via une autre méthode ou un autre chemin d’interface utilisateur ?
Merci pour votre réponse, Jamie. Désolé de ne pas avoir été assez précis. Je viens de passer à la dernière version et d’exécuter le test à nouveau, avec le même résultat. Voici les étapes pour reproduire le problème :
- Connectez-vous en tant qu’utilisateur TL0 ou TL1
- Passez en mode sécurisé et désactivez tout
- Sélectionnez n’importe quelle catégorie
- Créez un nouveau sujet
- Sélectionnez le tag « En vedette », réservé au personnel.
- Cliquez sur « Créer le sujet »
- Le message est créé et le tag « En vedette » est ajouté
Je viens de voir autre chose qui pourrait être lié : je ne peux plus accéder aux routes tag.json, comme celle-ci :
Mise à jour : oups, oubliez, il semble que /tags/ ait été renommé en /tag/, ce qui a cassé certaines de nos automatisations.
Malheureusement, je rencontre toujours des difficultés pour créer un cas de test pour ce problème. Voici les étapes que j’ai suivies :
- Création d’un nouveau site au commit : 6490fac881
- Création de l’utilisateur administrateur : jamie.wilson
- Activation du paramètre du site : tagging enabled
- Création des tags suivants :
360-renders
add-ons
advertisement
conference
contest
meetup
no-ads
promotion-offered
ba-tips
cant-reproduce
featured - Création des groupes de tags, conformément aux captures d’écran fournies (avec au maximum 3 tags par groupe à des fins de débogage)
- Création de la catégorie « Events », avec la valeur « Events » pour « Restreindre ces groupes de tags à cette catégorie »
- L’utilisateur administrateur crée un sujet dans la catégorie « Site Feedback » avec le tag « ba-tips » du groupe staff.
- Déconnexion de l’utilisateur administrateur
- Création d’un nouvel utilisateur (activé via le lien par e-mail) : normal.user
- En tant que normal.user, création d’un nouveau sujet dans « Uncategorized » ou « Site Feedback ». Tags disponibles : 360-renders, add-ons, advertisement
- Création d’un nouveau sujet dans « Events ». Tags disponibles : conference, contest, meetup
(non montré)
- L’utilisateur administrateur peut ajouter des tags restreints au message de normal.user :
- L’utilisateur administrateur peut voir les trois tags :
- normal.user ne peut voir que deux tags :
DiscourseTagging.permitted_tag_names(Guardian.new(User.find_by_username('normal.user')))
["360-renders", "add-ons", "advertisement", "conference", "contest", "meetup"]
DiscourseTagging.hidden_tag_names(Guardian.new(User.find_by_username('normal.user')))
["no-ads", "promotion-offered"]
Peut-être qu’une autre personne pourra reproduire le problème ? Je ne parviens pas à le faire pour le moment.
Je pense avoir trouvé le problème : #featured figurait à la fois dans la liste réservée au personnel et dans notre liste de « tags communs ». Je ne sais pas comment il s’est retrouvé là ; je devrai vérifier nos autorisations pour le personnel et voir s’ils l’ont créé d’une manière ou d’une autre. Désolé(e) de vous avoir fait perdre du temps, mais je vous suis vraiment reconnaissant(e) de votre aide ! 
Ce n’est pas un problème ! Je suis ravi que la cause racine ait été identifiée et que nous puissions tous nous sentir un peu plus confiants quant au bon fonctionnement de la nouvelle fonctionnalité.
J’espère qu’elle vous sera utile, ainsi qu’à votre site, maintenant que les problèmes de configuration ont été résolus. Faites-nous savoir comment cela se passe pour vous.