He estado buscando y he encontrado algunos temas relacionados, pero la mayoría están relacionados con SSO, que no tenemos configurado.
Tenemos la autenticación estándar de Discourse y también la autenticación mediante el plugin OAuth2.
Tenemos algunas categorías que requieren que el usuario pertenezca a un grupo de usuarios específico.
Si creamos un enlace para un usuario no autenticado hacia una categoría protegida (que está configurada en el grupo adecuado), obtienen la página normal de 404/Oops. Luego tienen que salir, iniciar sesión y navegar de nuevo hasta esa categoría protegida.
¿Existe alguna manera de enlazar a la página /login con una URL de redirección proporcionada hacia esa categoría oculta, o cambiar una configuración para solicitar el inicio de sesión en esa categoría protegida?
Esto ha surgido lo suficiente como para que tal vez debamos considerar una configuración opcional del sitio que relaje la seguridad en la página 404 @eviltrout… de modo que, cuando un usuario anónimo haga clic en
Creo que esta es una gran idea. Para muchos tipos de foros, indicar que algo existe no es una vulnerabilidad de seguridad y mejoraría realmente la accesibilidad.
El desafío aquí es realmente nombrar adecuadamente la configuración del sitio y explicar qué hace. He hecho lo mejor posible a continuación, pero no me opondría a ediciones.
Aquí hay una mini especificación:
Agregar una nueva configuración del sitio detailed_404, con valor predeterminado false. “Proporciona más detalles a los usuarios sobre por qué no pueden acceder a un tema en particular. NOTA: Esto es menos seguro porque los usuarios sabrán si una URL tiene un tema válido o no.”
Cuando esté habilitado, en el controlador de temas, si falla la verificación del guardián, devolver un objeto JSON con detalles sobre por qué falló.
En la aplicación del front end, utilizar estos detalles para mostrar un mensaje de error apropiado:
Si es anónimo: “Lo sentimos, necesitarás iniciar sesión para ver ese tema”
Si ha iniciado sesión:
Si el tema está restringido a un solo grupo (excluyendo grupos de personal): “Este tema está restringido a GRUPO_NOMBRE.” e incluir el botón Solicitar acceso.
Si el tema está restringido a muchos grupos, mostrar un mensaje genérico: “No tienes acceso a este tema. Por favor, contacta a quien te proporcionó el enlace para solicitar acceso.”
¿Queremos hacer eso tanto para las listas de temas en una categoría restringida como para un tema en una categoría restringida, o solo para el tema en una categoría restringida?
Porque ahora mismo tienen comportamientos diferentes.
No veo a mucha gente quejarse de no poder ver las listas de temas en comparación con los propios temas. No me molestaría a menos que sea realmente fácil.