Der richtige Ort, um eine Berechtigungsprädikat vorzuschlagen?

mdoggydog · 17. Februar 2025 um 04:07

Um eine Lösung für Restrict exposure of full name to certain groups vorzuschlagen, möchte ich ein (serverseitiges) Berechtigungsprädikat definieren, das die Frage beantwortet:

Basierend auf dem aktuellen Benutzerumfang/Kontext, ist es in Ordnung, die vollständigen Namen anderer Benutzer preiszugeben?

(Der Umfang könnte durch eine Client-Anfrage oder durch einen internen Verarbeitungsschritt, wie z. B. die Generierung von Digest-E-Mails, festgelegt werden.)

Was ist die richtige Konstruktion für ein solches Prädikat? Wo im Code sollte es leben? Ich denke, dass dies vielleicht in einen Guardian gehört – bin ich auf dem richtigen Weg? Irgendwelche Meinungen dazu?

Ich stelle mir vor, dass dieses neue Prädikat viele (aber nicht alle) Instanzen von SiteSettings.enable_names? im Code ersetzen würde. (Das Treffen der Serializer, die user.name liefern, schließt die meisten Datenlecks, aber nicht alle.) Ein schöner Vorteil davon ist, dass es eine Erweiterungsmöglichkeit einführen würde, mit der ein zukünftiges Plugin das Verhalten ändern könnte (derzeit nicht möglich, soweit ich weiß, oder ich würde es einfach tun!). Wenn ich das also zum Laufen bringe, wäre dies ein Pull-Request zum Discourse-Kern – und ich möchte einen PR einreichen, der eine Chance hat, akzeptiert zu werden.

mdoggydog · 21. Februar 2025 um 23:31

Hier ist, was ich gelernt/abgeleitet habe:

Guardian ist tatsächlich das, was „Was darf der Benutzer tun?“ kapselt (eine Guardian-Instanz hat auch eine User-Instanz).
Somit ist der richtige Ort für ein Berechtigungsprädikat einfach als Methode auf Guardian (lib/guardian.rb).
Wenn die Methode lautet „Kann der Benutzer Z mit einem Xxxx-Objekt tun?“, dann gehört sie wahrscheinlich in eine der XxxxGuardian-Mixin-Dateien (lib/guardian/...).
Andernfalls gehört sie in die Basisdefinition von Guardian.
ApplicationController verwaltet ein guardian-Attribut, das die aktuelle Anfrage/den aktuellen Client widerspiegelt, und stellt es Serializern als deren scope zur Verfügung, sodass der aktuelle Guardian bei Bedarf verfügbar ist (außer wenn er es nicht ist^[1])
Es gibt Stellen, an denen kein fertiger Guardian verfügbar ist, typischerweise in einer Backend-Aufgabe, die vom System ausgeführt wird, aber wenn Sie einen „handelnden Benutzer“ haben (z. B. den Empfängerbenutzer bei der Erstellung einer E-Mail-Benachrichtigung), können Sie einen geeigneten Guardian im Handumdrehen erstellen: Guardian.new(the_user).

Forwarding the `scope:` down a tree of serializers: just do it, or not? Dev

Serializers can be provided with a scope: parameter intended to provide the permissions-context for the serializer. In the Discourse code, the provided scope is a Guardian, and it looks like every serializer is intended to receive a Guardian as its scope. ApplicationController (the base class of all the controllers) maintains a Guardian and it has multiple mechanisms to try to ensure that Guardian is injected as the scope: for all serializers. However, not every scenario is not covered by the…

↩︎

Thema		Antworten	Aufrufe
Disabling "enable names" makes admin act strange Bug	42	1029	20. Juni 2025
Best way to enforce permissions--controller or constraint? Dev	5	527	19. Januar 2021
PAID: Filter by username in digest preview (completed) Marketplace activity-summary	2	1100	5. November 2015
Forwarding the `scope:` down a tree of serializers: just do it, or not? Dev	0	28	21. Februar 2025
Overriding user_guardian.rb in a plugin (no fork necessary!) Dev	23	2738	29. August 2025

Der richtige Ort, um eine Berechtigungsprädikat vorzuschlagen?

Verwandte Themen