Recherche
Ce document à pour but de garder une trace de tout ce que nous comprenons de la la gestion des droits nuxeo.
CanAskForPublishing correspond au droit "Je peux demander à publier dans une section". C'est ce droit qui est testé pour faire apparaître on non le bouton publier en face de chaque section de publication dans l'onglet publication.
CanAskForPublishing est inclus dans Read (ce point nous interpelle mais la question n'est pas là... pour le moment -cf. ci-dessous-).
Par contre, on se demandait comment se fait-il qu'un utilisateur qui a le droit write obtient aussi le droit CanAskForPublishing.
Le réponse :
Je viens de faire des tests en nuxeo 5.2 de base (hors esup-ecm).
Voici ce que l'on observe :
On peut donc se demander qu'elle est l'utilité de pouvoir positionner le droit CanAskForPublishing dans la mesure où il faut au minimum avoir le droit read pour pouvoir naviguer dans la section où l'on souhaite publier et que Read inclus CanAskForPublishing. Une question en ce sens a été posée à nuxeo.
Ce qui me semblerait mieux :
Voici ce qu'il faut faire en attendant si on veut pouvoir donner un droit de lecture sans possibilité de demander une publication :
Voici ce que l'on observe :
Comment faire alors ?
La solution consiste à utiliser nxshell (Malheureusement, ce dernier n'a pas encore de fonction pour gérer les droits ! Par contre, il permet d'exécuter des scrips. Et des exemples de ces scripts existent chez nuxeo) :
Notes :
Le script modifyPermissions.js remets les droits hérités en place et donne le droit ReadWrite à menbers (passage de [toto:Everything:true, Everyone:Everything:false] à [members:ReadWrite:true])
DefaultAdministratorId est utilisé par le point d'extension userManager de UserService.
La valeur de DefaultAdministratorId est stockée dans UserManagerDescriptor.rootLogin puis dans UserManagerImpl.defaultRootLogin
Ensuite, à chaque clic, la méthode makePrincipal de UserManagerImpl est appelée. C'est elle qui va ajouter le groupe administrators au user courant si ce dernier correspond à DefaultAdministratorId. Ceci avec le code suivant :
// Create a default admin if needed if (defaultRootLogin \!= null && defaultRootLogin.equals(principal.getName())) { virtualGroups.add(SecurityConstants.ADMINISTRATORS); } principal.setVirtualGroups(virtualGroups);