Ошибка прав пользователей Принято

2

Для пользователей бэкенда предусмотрена настройка прав для действий над заказами: например, некоторым пользователям (менеджерам магазина) или группам пользователей в зависимости от их ролей можно запрещать выполнение определенных действий над заказом (назначать заказу какой либо статус, редактировать заказ и т д ).

Проблема заключается в том, что любой пользователь, авторизовавшись через мобильное приложение Shop-Script, может выполнять ЛЮБЫЕ действия над заказом, игнорирую настройку прав действий.

То же самое и с курьерами. Курьеры тоже имеют полный доступ к действиям над заказами и тут так же игнорируются права. 

Так как  мобильное приложение работает через API бэкенда, то было круто, если бы разработчики прикрыли эты ДЫРУ хотя бы на уровне API. (Понятно , что мобильное приложение никто обновлять не собирается.)

Писал в службу поддержки, но как обычно,  получил отписку с шаблонным ответом, поэтому дублирую тут, может быть кто то обратит внимание.

0 комментариев

    Добавить комментарий

    Чтобы добавить комментарий, зарегистрируйтесь или войдите