Безопасность: Не работают права доступа в поле Сущность и Связанные записи
Добавлено: 02 июл 2019, 16:35
Сценарий:
1) Есть Сущность1, для которой установлены разграничения прав доступа (например, у пользователя доступ "Просматривать только назначеные").
2) Есть Сущность2, в которой есть поле типа "Сущность", в которой пользователь может выбрать Сущность1.
3) Если для Сущность1 у пользователя нет прав на просмотр сущностей (либо полностью, либо "только назначенные"), при добавлении/редактировании Сущности2 в поле типа "Сущность" доступны для просмотра и для выбора все Сущности1. А не должны быть доступны.
Обоснование:
Например, у нас есть список проектов, доступ к которым ограничен пользователям. Пользователи даже не должны знать названия проектов, к которым у них нет доступа.В других сущностях (запросы, планы и т.д.) есть ссылка на проекты через поле типа "Сущность". Пользователь может выбирать из этого поля. И получается, что выбирая проекты из списка, пользователь видит в этом списке все-все проекты, в независимости от того, что у него полностью закрыт к ним доступ.
Полностью аналогично Руководитель не учитывает ограничения на доступ в поле типа "Связанные записи".
Если у пользователя нет доступа к каким-то проекта (например, у пользователя уровень доступа просматривать только назначенные проекты), то он он не должен их видеть в диалоговом окне для выбора записей для связывания. Сейчас в списке для связывания пользователю видны все проекты, даже если у него полностью или частично ограничен к ним доступ.
1) Есть Сущность1, для которой установлены разграничения прав доступа (например, у пользователя доступ "Просматривать только назначеные").
2) Есть Сущность2, в которой есть поле типа "Сущность", в которой пользователь может выбрать Сущность1.
3) Если для Сущность1 у пользователя нет прав на просмотр сущностей (либо полностью, либо "только назначенные"), при добавлении/редактировании Сущности2 в поле типа "Сущность" доступны для просмотра и для выбора все Сущности1. А не должны быть доступны.
Обоснование:
Например, у нас есть список проектов, доступ к которым ограничен пользователям. Пользователи даже не должны знать названия проектов, к которым у них нет доступа.В других сущностях (запросы, планы и т.д.) есть ссылка на проекты через поле типа "Сущность". Пользователь может выбирать из этого поля. И получается, что выбирая проекты из списка, пользователь видит в этом списке все-все проекты, в независимости от того, что у него полностью закрыт к ним доступ.
Полностью аналогично Руководитель не учитывает ограничения на доступ в поле типа "Связанные записи".
Если у пользователя нет доступа к каким-то проекта (например, у пользователя уровень доступа просматривать только назначенные проекты), то он он не должен их видеть в диалоговом окне для выбора записей для связывания. Сейчас в списке для связывания пользователю видны все проекты, даже если у него полностью или частично ограничен к ним доступ.