Closed alecalve closed 10 years ago
mattgu74
commented
10 years ago Je peux pas accepter ça, si tu n'appelles pas la méthode loginCas (donc le user_id actuellement connecté est null) et que tu appelles la méthode avec usr_id = null et fun_id = null, alors tu passes les conditions et n'importe qui peut modifier le "master message"...
alecalve
commented
10 years ago Sauf qu’il est impossible de modifier le master message depuis le service : https://github.com/payutc/server/blob/master/src/Payutc/Bom/MsgPerso.php#L73
alecalve
commented
10 years ago J'ai aussi rajouté une méthode permettant de changer son message sans avoir à connaître son usr_id et modifié les droits pour mettre à jour son message et le consulter.
trecouvr
commented
10 years ago @alecalve les restrictions liées à des permissions ne devraient pas être dans le BOM mais plutôt dans le service.
alecalve
commented
10 years ago C'est ce qu'a résolu le commit d97a5b6 à moins que tu ne parles d'autres chose
trecouvr
commented
10 years ago Ca me parait bien. Il se passe quoi si on appelle $this->user()->getId() et que le user n'est pas loggé ? Y'a pas un moyen de forcer l'user à etre loggé ?
alecalve
commented
10 years ago Après avoir parlé avec Matthieu, le message global sera changeable par le service par un admin.
apuyou
commented
10 years ago Je ferme cette PR qui n'a pas été touchée depuis plus de 3 mois, n'hésitez pas à la rouvrir si nécessaire.
On veut que n’importe qui puisse changer de message perso sans avoir de droit MESSAGES.