CMS: resumen de los permisos de las colecciones
6 min de lectura
Antes de comenzar:
Es posible que desees leer sobre los campos de tu colección antes de seguir leyendo este artículo. Para obtener una guía más detallada, puedes leer cómo cambiar los permisos de tu colección.
Los permisos te dan control sobre qué visitantes pueden acceder e interactuar con los datos de las colecciones, y qué pueden hacer.
Por ejemplo, el sitio puede tener una sección donde los visitantes pueden publicar comentarios que almacenas en una colección. Es posible que desees permitir que todos los visitantes agreguen nuevos comentarios, que lean los comentarios y que solo el administrador actualice o elimine los comentarios existentes.
Los permisos se definen por colección. Tú asignas permisos que determinan qué roles de usuario pueden realizar qué acciones. Por ejemplo, puedes otorgar permisos de creación a los usuarios registrados para la colección "comentarios", pero establecer que solo los administradores creen elementos en la colección "productos".
Por ejemplo, el sitio puede tener una sección donde los visitantes pueden publicar comentarios que almacenas en una colección. Es posible que desees permitir que todos los visitantes agreguen nuevos comentarios, que lean los comentarios y que solo el administrador actualice o elimine los comentarios existentes.
Los permisos se definen por colección. Tú asignas permisos que determinan qué roles de usuario pueden realizar qué acciones. Por ejemplo, puedes otorgar permisos de creación a los usuarios registrados para la colección "comentarios", pero establecer que solo los administradores creen elementos en la colección "productos".
Usuarios de Velo by Wix:
La API de Wix Data te permite acceder a las colecciones directamente con el código, lo que te brinda más capacidades de las que están disponibles en el Editor. Más información (enlace en inglés)
En este artículo, obtén más información sobre lo siguiente:
Información importante sobre el acceso a las colecciones
Al elegir los ajustes preestablecidos de permisos de colección, presta especial atención a los permisos predeterminados.
El modelo de permisos de la colección contiene una serie de preajustes que establecen automáticamente los permisos para situaciones comunes. Por ejemplo, la opción Público solo debe utilizarse para información no confidencial, como colecciones sin datos del usuario. Esto se debe a que el permiso de lectura de esa colección se establecerá en el rol Cualquiera y todas las demás acciones están restringidas solo al rol de Administrador:
- Ver - Cualquiera
- Agregar - Administrador
- Actualizar - Administrador
- Eliminar - Administrador
Otro ejemplo es el ajuste preestablecido de Formularios enviados, que define los siguientes permisos:
- Ver - Administrador
- Agregar - Cualquiera
- Actualizar - Administrador
- Eliminar - Administrador
Al usar el ajuste Personalizado, asegúrate de que los permisos que asignas coincidan con la lógica comercial y la clasificación de confidencialidad de los datos de la colección. Por ejemplo, las colecciones con detalles sobre clientes o clientes potenciales deben tratarse de manera diferente a las colecciones sobre productos.
Es importante tener en cuenta que, según los permisos que apliques, se puede acceder a la información de una colección o modificarla independientemente del flujo del sitio. Por ejemplo, el sitio puede incluir un botón de enviar para que se inserten nuevos comentarios en la colección de comentarios. Sin embargo, si la colección está configurada para permitir que cualquiera elimine los comentarios, sería posible hacerlo mediante una llamada directa a la colección (enlace en inglés), incluso sin un botón en la página.
Importante:
La configuración del conjunto de datos afecta a las acciones que se pueden realizar en la página, pero solo los permisos de la colección pueden limitar las operaciones que los distintos roles pueden realizar sobre los datos. Más información
Permisos
Se admiten los siguientes permisos:
Permiso | Descripción |
|---|---|
Ver | Recuperar y ver datos |
Agregar | Agregar nuevos datos |
Eliminar | Eliminar un elemento existente |
Actualizar | Editar un elemento existente |
Nota:
Los permisos de acceso a los datos no cambian con el cifrado de PII. Se deben establecer los permisos adecuados para mantener la confidencialidad de los datos. Obtén más información sobre PII aquí.
Roles
Los roles se asignan a los usuarios de forma automática, en función de su actividad y estado en el sitio. Solo puedes editar o eliminar los roles personalizados que tú crees.
Rol | Descripción |
|---|---|
Administrador | El propietario del sitio, los colaboradores asignados al rol de Administrador (copropietario) y los colaboradores con permisos para acceder a los datos del CMS. |
Autor miembro del sitio | El usuario que creó el elemento actual |
Miembro del sitio | Un usuario que ha iniciado sesión en el sitio |
Cualquiera | Un usuario en Internet que no ha iniciado sesión en el sitio (puede o no ser un visitante) |
Personalizado | Un rol que tú creas y adaptas a tus necesidades. Más información |
Actualmente, los roles personalizados no son compatibles con el modelo de permisos de la colección. Sin embargo, los usuarios de Velo pueden implementar un rol personalizado en una colección al establecer el permiso de la misma como ''admin" y al utilizar el código para hacer una llamada de datos desde el backend con la opción suppressAuth (enlace en inglés). La llamada de datos debe realizarse después de que el rol personalizado de membresía se valide con la funcionalidad de la API de wix-users en el código.
El Administrador siempre retiene los permisos para todas las acciones.
El rol Autor del miembro del sitio es diferente de los demás ya que se aplica a elementos específicos de una colección en lugar de en todo el sitio. El autor del miembro del sitio es un usuario registrado que creó un elemento específico y, por lo tanto, recibe permisos agregados para ese elemento que de otro modo no se habrían concedido.
El rol Autor del miembro del sitio es diferente de los demás ya que se aplica a elementos específicos de una colección en lugar de en todo el sitio. El autor del miembro del sitio es un usuario registrado que creó un elemento específico y, por lo tanto, recibe permisos agregados para ese elemento que de otro modo no se habrían concedido.
Cuando obtienes una vista previa de tu sitio, lo haces en el rol de Administrador. Para interactuar como otro tipo de usuario, primero publica tu sitio y luego navega a tu sitio online e inicia sesión como un usuario diferente (Miembro del sitio) o no inicies sesión (Cualquiera). Recuerda que, si Sandbox está habilitado en tu sitio, tu sitio online funciona con las colecciones online y no con las colecciones de Sandbox que ves en el CMS o al obtener una vista previa de tu sitio.
Nota:
Algunos roles dependen de que tengas un Área personal en tu sitio. Si usas Velo by Wix, también puedes agregar la funcionalidad de membresía con la API respaldada wix-members (enlace en inglés).
Ajustes preestablecidos para los permisos de colección
Al configurar los permisos para la colección, puedes elegir de una lista de ajustes preestablecidos. Los ajustes preestablecidos establecen automáticamente los permisos para una serie de escenarios comunes, como se muestra en la siguiente tabla.
En función del ajuste preestablecido que selecciones, a cada rol se le asignan permisos que coinciden con las necesidades del escenario. Siempre puedes seleccionar Uso personalizado para personalizar los permisos concedidos a un rol.
En función del ajuste preestablecido que selecciones, a cada rol se le asignan permisos que coinciden con las necesidades del escenario. Siempre puedes seleccionar Uso personalizado para personalizar los permisos concedidos a un rol.
Tipo | Leer | Crear | Actualizar | Eliminar |
|---|---|---|---|---|
Público | Cualquiera | Administrador | Administrador | Administrador |
Envío de formulario | Administrador | Cualquiera | Administrador | Administrador |
Generado por miembros Contenido | Cualquiera | Miembro del sitio | Usuario registrado autor | Usuario registrado autor |
Contenido solo para miembros | Miembro del sitio | Administrador | Administrador | Administrador |
Envío de formulario solo para miembros | Administrador | Miembro del sitio | Administrador | Administrador |
Datos privados | Administrador | Administrador | Administrador | Administrador |
Uso personalizado | - | - | - | - |
Velo de Wix: supresión de autorización
Al interactuar con las colecciones mediante la [API de datos (enlace en inglés), puedes elegir omitir el modelo de permisos en ciertos casos. El argumento opcional WixDataOptions se puede enviar a la llamada de la función API con la propiedad suppressAuth establecida en true. Esto hará que la función se ejecute sin verificar si el usuario actual tiene los permisos correctos. Solo puedes omitir los permisos al realizar llamadas a la API desde el código backend. Las llamadas a la API del lado del cliente siempre ejecutarán comprobaciones de permisos, independientemente de las opciones que se pasen.
Ejemplos:
Una colección puede contener comentarios, así como la dirección de correo electrónico del creador del comentario. Los visitantes deberían poder ver los comentarios, sin embargo, solo el administrador debería poder ver las direcciones de correo electrónico. En tal caso, se deben establecer los permisos de lectura en la colección de comentarios en 'Administrador'. Quitar la autorización nos ayudará a permitir que los visitantes vean los comentarios sin otorgarles permiso para "leer" la colección de comentarios.
Esto se puede hacer al escribir un módulo web en un archivo jsw en el backend que llamará a la colección de comentarios con la propiedad suppressAuth establecida en true, y luego filtrará la respuesta y devolverá solo los campos deseados (comentarios) al cliente para que el visitante los vea sin los otros campos de la colección y particularmente, sin los emails.
1import wixData from 'wix-data';
2// ...
3let options = {
4 "suppressAuth": true
5};
6wixData.query("myCollection")
7 .find(options)
8 .then( (results) => {
9 if(results.items.length > 0) {
10 let items = results.items;
11 let firstItem = items[0];
12 } else {
13 // handle case where no matching items found
14 }
15 } )
16 .catch( (error) => {
17 let errorMsg = error.message;
18 let code = error.code;
19 } );Otro ejemplo para el uso de suppressAuth, es donde deseas permitir que un [rol personalizado (un miembro específico del sitio o un grupo específico de miembros del sitio) acceda a una colección que está establecida con permisos de administrador.
En el segundo ejemplo, el módulo web debe verificar la identidad (enlace en inglés) o el rol del miembro del sitio antes de solicitar los datos. En el primer ejemplo, el módulo web debe filtrar los resultados antes de devolver los datos al cliente.
Notas:
- Los permisos afectan los datos que carga un conjunto de datos. Puedes obtener más información sobre cómo funcionan aquí.
- Se puede utilizar las opciones del conjunto de datos para refinar las operaciones de datos que pueden realizar los elementos conectados a ese conjunto de datos específico. Los datos siempre son accesibles en la medida en que se especifiquen los permisos mediante la API de datos (enlace en inglés).
- Es posible que desees obtener más información sobre cómo establecer permisos para una colección de base de datos.
¿Te ha sido útil?
|