Système de gestion de contenu (CMS) : Aperçu des autorisations des collections
Temps de lecture : 6 min
Avant de commencer :
Vous voudrez peut-être lire à propos des champs de votre collection avant de lire cet article. Pour un guide plus spécifique, vous pouvez lire modifier les autorisations de votre collection..
Les autorisations vous permettent de contrôler quels visiteurs sont autorisés à accéder aux données de vos collections et à interagir avec elles, ainsi que ce qu'ils sont autorisés à faire.
Par exemple, votre site peut avoir une section d'avis où les visiteurs peuvent poster des commentaires que vous stockez dans une collection. Vous pouvez autoriser tous les visiteurs à ajouter de nouveaux commentaires, à tous les visiteurs à lire les commentaires et uniquement à l'administrateur de mettre à jour ou de supprimer les commentaires existants.
Les autorisations sont définies par collection. Vous attribuez des autorisations qui déterminent quels rôles d'utilisateur peuvent effectuer quelles actions. Par exemple, vous pouvez accorder des autorisations de création aux membres du site pour votre collection «commentaires», mais n'autorisez que les administrateurs à créer des éléments dans votre collection «articles».
Par exemple, votre site peut avoir une section d'avis où les visiteurs peuvent poster des commentaires que vous stockez dans une collection. Vous pouvez autoriser tous les visiteurs à ajouter de nouveaux commentaires, à tous les visiteurs à lire les commentaires et uniquement à l'administrateur de mettre à jour ou de supprimer les commentaires existants.
Les autorisations sont définies par collection. Vous attribuez des autorisations qui déterminent quels rôles d'utilisateur peuvent effectuer quelles actions. Par exemple, vous pouvez accorder des autorisations de création aux membres du site pour votre collection «commentaires», mais n'autorisez que les administrateurs à créer des éléments dans votre collection «articles».
Utilisateurs de Velo by Wix:
L'API Wix Data vous permet d'accéder à vos collections directement en utilisant du code, ce qui vous donne plus de fonctionnalités que ce qui est disponible dans l'Éditeur. En savoir plus
Dans cet article, apprenez-en plus sur :
Informations importantes sur l'accès aux collections
Lorsque vous choisissez des autorisations de collection prédéfinies, prêtez une attention particulière aux autorisations par défaut.
Le modèle d'autorisations de collection contient un certain nombre de paramètres prédéfinis qui définissent automatiquement les autorisations pour les scénarios courants. Par exemple, le paramètre Publique ne doit être utilisé que pour les informations non sensibles, telles que les collections sans données d'utilisateur. En effet, l'autorisation de lecture de cette collection sera paramétrée sur le rôle Tout le monde et toutes les autres actions seront limitées au rôle Administrateur :
- Voir - Tout le monde
- Ajouter - Administrateur
- Mise à jour - Admin
- Supprimer - Admin
Un autre exemple est le préréglage d'envoi de formulaire, qui définit les autorisations suivantes :
- Voir - Administrateur
- Ajouter - Tout le monde
- Mise à jour - Admin
- Supprimer - Admin
Lorsque vous utilisez le paramètre Personnalisé, assurez-vous que les autorisations que vous attribuez correspondent à la logique métier et à la collection de confidentialité des données de la collection. Par exemple, les collections avec des informations sur les clients ou les prospects doivent être traitées différemment des collections sur les articles.
Il est important de noter que, selon les autorisations que vous appliquez, les informations d'une collection peuvent être consultées ou modifiées quel que soit le flux du site. Par exemple, votre site peut inclure un bouton d'envoi pour que les nouveaux commentaires soient insérés dans la collection de commentaires. Cependant, si la collection est configurée pour permettre à quiconque de supprimer les commentaires, il serait possible de le faire par un appel direct à la collection, même sans bouton sur la page.
Important :
La configuration de l'ensemble de données a un impact sur les actions qui peuvent être effectuées sur la page, mais seules les autorisations de collecte peuvent en fait limiter les opérations qui peuvent être effectuées sur les données par différents rôles. En savoir plus
Autorisations
Les autorisations suivantes sont compatibles.
Autorisation | Description |
|---|---|
View | Récupérer et afficher les données |
Ajouter | Ajouter de nouvelles données |
Supprimer | Supprimer un élément existant |
Mettre à jour | Modifier un élément existant |
Remarque :
Les autorisations d'accès aux données ne changent pas avec le chiffrement des données à caractère personnel (DCP). Des autorisations appropriées doivent être définies pour maintenir la confidentialité des données. En savoir plus sur les DPC ici.
Statuts
Les rôles sont automatiquement attribués aux utilisateurs en fonction de leur activité et de leur statut sur le site. Vous ne pouvez modifier ou supprimer que les rôles personnalisés que vous créez.
Rôle | Description |
|---|---|
Administrateur | Le propriétaire du site, les collaborateurs attribués au rôle d' administrateur (copropriétaire) et les collaborateurs disposant des autorisations nécessaires pour accéder aux données du système de gestion de contenu (CMS). |
Auteur membre du site | L'utilisateur qui a créé l'élément actuel |
Membre du site | Un utilisateur qui est connecté au site |
Tout le monde | Un utilisateur sur internet qui n'est pas connecté au site (peut ou non être un visiteur) |
Personnalisé | Un rôle que vous créez et adaptez à vos besoins. En savoir plus |
Pour le moment, les rôles personnalisés ne sont pas pris en charge par le modèle d'autorisation de la collection. Cependant, les utilisateurs de Velo peuvent implémenter un rôle personnalisé sur une collection en paramétrant l'autorisation de la collection sur «admin» et en utilisant du code pour effectuer un appel de données depuis le backend avec l'option suppressAuth. L'appel de données doit être effectué après la validation du rôle personnalisé d'adhésion avec la fonctionnalité API wix-users dans le code.
L' administrateur conserve toujours les autorisations pour toutes les actions.
Le rôle d'auteur du membre du site est différent des autres rôles en ce sens qu'il s'applique à des éléments spécifiques d'une collection au lieu de l'appliquer à l'échelle du site. L'auteur du membre du site est un membre du site qui a créé un élément spécifique et qui reçoit donc des autorisations supplémentaires pour cet élément qui n'auraient pas été accordées autrement.
Le rôle d'auteur du membre du site est différent des autres rôles en ce sens qu'il s'applique à des éléments spécifiques d'une collection au lieu de l'appliquer à l'échelle du site. L'auteur du membre du site est un membre du site qui a créé un élément spécifique et qui reçoit donc des autorisations supplémentaires pour cet élément qui n'auraient pas été accordées autrement.
Lorsque vous prévisualisez votre site, vous le faites dans le rôle d' administrateur . Pour interagir avec un autre type d'utilisateur, publiez d'abord votre site, puis accédez à votre site en ligne et connectez-vous en tant qu'utilisateur différent (Membre du site) ou ne vous connectez pas du tout (Tout le monde). N'oubliez pas que, si Sandbox est activé sur votre site, votre site en ligne fonctionne avec les collections live et non avec les collections sandbox que vous voyez dans le CMS ou lors de l'aperçu de votre site.
Remarque :
Certains rôles dépendent de votre condition d'avoir un espace membres sur votre site. Si vous utilisez Velo by Wix, vous pouvez également ajouter des fonctionnalités d'abonnement avec l'API wix-members-backed API.
Préréglages pour les autorisations de collection
Lorsque vous définissez les autorisations pour votre collection, vous pouvez choisir dans une liste de préréglages. Les paramètres prédéfinis définissent automatiquement les autorisations pour un certain nombre de scénarios courants, comme indiqué dans le tableau ci-dessous.
En fonction du préréglage que vous sélectionnez, chaque rôle se voit attribuer des autorisations qui correspondent aux besoins du scénario. Vous pouvez toujours sélectionner Utilisation personnalisée pour personnaliser les autorisations accordées à un rôle.
En fonction du préréglage que vous sélectionnez, chaque rôle se voit attribuer des autorisations qui correspondent aux besoins du scénario. Vous pouvez toujours sélectionner Utilisation personnalisée pour personnaliser les autorisations accordées à un rôle.
Type | Lire | Créer | Mettre à jour | Supprimer |
|---|---|---|---|---|
Publique | Tout le monde | Administrateur | Administrateur | Administrateur |
Envoi d'un formulaire | Administrateur | Tout le monde | Administrateur | Administrateur |
Généré par les membres Contenu | Tout le monde | Membre du site | Membre du site auteur | Membre du site auteur |
Contenu réservé aux membres | Membre du site | Administrateur | Administrateur | Administrateur |
Envoie de formulaires réservé aux membres | Administrateur | Membre du site | Administrateur | Administrateur |
Données privées | Administrateur | Administrateur | Administrateur | Administrateur |
Utilisation personnalisée | - | - | - | - |
Velo by Wix: Suppression des autorisations
Lorsque vous interagissez avec vos collections à l'aide de l 'API de données, vous pouvez choisir de contourner le modèle des autorisations dans certains cas. L'argument facultatif WixDataOptions peut être envoyé à l'appel de la fonction API avec la propriété suppressAuth définie sur true. Cela entraînera l'exécution de la fonction sans vérifier si l'utilisateur actuel dispose des autorisations nécessaires. Vous ne pouvez contourner les autorisations que lorsque vous effectuez des appels API à partir du code backend. Les appels d'API côté client exécuteront toujours des contrôles d'autorisation, quelles que soient les options passées.
Exemples :
Une collection peut contenir des commentaires ainsi que l'adresse e-mail du créateur du commentaire. Les visiteurs doivent pouvoir consulter les commentaires, mais seul l'administrateur doit pouvoir consulter les adresses e-mail. Dans ce cas, il faut paramétrer les autorisations de lecture sur la collection de commentaires sur « Administrateur ». La suppression d'autorisation nous aidera à permettre aux visiteurs de voir les commentaires sans leur donner la permission de « lire » la collection des commentaires.
Cela peut être fait en écrivant un module web dans un fichier jsw dans le back-end qui appellera la collection comments avec la propriété suppressAuth définie sur true, puis filtrera la réponse et ne retournera que les champs souhaités (commentaires) au client pour le visiteur à afficher, sans les autres champs de la collection, plus précisément sans les e-mails.
1import wixData from 'wix-data'; // ... let options = { "suppressAuth": true }; wixData.query("myCollection") .find(options) .then( (results) => { if(results.items.length > 0) { let items = results.items; let firstItem = items0]; } else { // handle case where no matching items found } } ) .catch( (error) => { let errorMsg = error.message; let code = error.code; } );Un autre exemple d'utilisation de suppressAuth est celui où vous souhaitez autoriser un [rôle personnalisé (un membre spécifique du site ou un groupe spécifique de membres du site) l'accès à une collection qui est définie avec des autorisations d'administrateur.
Dans le deuxième exemple, le module web doit vérifier l'identité ou le rôle du membre du site avant d'appeler les données. Dans le premier exemple, le module web doit filtrer les résultats avant de renvoyer les données au client.
Remarques :
- Les autorisations ont un impact sur les données chargées par un ensemble de données. Vous pouvez en savoir plus sur leur fonctionnement ici.
- Les paramètres de l'ensemble de données peuvent être utilisés pour affiner les opérations sur les données qui peuvent être effectuées par les éléments connectés à cet ensemble de données spécifique. Les données sont toujours accessibles dans la mesure spécifiée par les autorisations à l'aide de l 'API de données.
- Vous voudrez peut-être en savoir plus sur la définition des autorisations pour une collection de base de données.
Cela vous a-t-il aidé ?
|