Решил порыться в старом белье и достал приложение Стикеры https://www.webasyst.ru/store/app/stickies/. Оно ставится на конфигурацию с двумя пользователями и последним фреймворком.
У Админа доступ ко всем приложениям в системе, а у Менеджера к некоторым. Этих вводных пока достаточно.
Админ в приложении Команда дает полный (можно и ограниченный с общей для обеих доской) доступ Менеджеру к Стикерам и создает тестовую доску и наклейки на ней. Менеджер, заходя в Стикеры, внезапно видит всю панель приложений админа и даже те, которые не должен, и авторизован он как бы от имени админа. Бред какой-то. Пробуем разобраться пока на уровне интерфейса бекенда.
Так. Для начала чистим кеш.
Обновляем страницу Стикеров под менеджером. И вуаля! У менеджера красота, но теперь Админ у себя видит в Стикерах как будто он менеджер и набор приложений у него как у менеджера. Что за бред снова-то?
Чистим кеш. Обновляем страницу Стикеров под админом. И теперь в Стикерах менеджер сидит от админа.
Дальше разбираться и тем более ремонтировать приложение уже не захотелось от слова совсем. В качестве примечания скажу, что у аналогичного бесплатного и даже ещё более древнего приложения "Списки дел" https://www.webasyst.ru/store/app/checklists/ такой проблемы с кешированием не наблюдается, поэтому вопрос видимо и не в сроке годности.
Всё это в совокупности с чисткой кеша даёт странные эффекты смены панели приложений и информации об аккаунте пользователя что у админа, что у менеджера.
Без чистки кеша панель приложений и инфо об аккаунте будет скорее всего от админа, т.к. он скорее первым зайдет в Стикеры, но это до следующей чистки.
Какой аккаунт первым обновил страницу Стикеров после очистки кеша в приложении Настройки, того аккаунта информация в панели приложений и будет показываться всем в системе, кто имеет доступ к Стикерам.
Если приложение, которое не обновлялось примерно 1000 лет, не планируется избавлять от подобных ошибок, то может быть лучше его вообще не давать устанавливать от греха подальше? Либо выпустить исправление, решающее данную неприятную проблему пусть даже и спустя много лет.
Может быть там и нет серьезных проблем с безопасностью ибо менеджер стабильно будет ловить 403 там, куда ходить нельзя, но выглядит поведение Стикеров как минимум подозрительно т.к. вопрос доступа к приложениям, плагинам, функциям и т.п. в многопользовательских системах весьма деликатный. Ну или как минимум есть проблема с кешированием того, что кешировать не стоило бы вовсе.
2 комментария
Не совсем по теме, но о наболевшем...
Вопрос может и деликатный, но на этот вопрос положен большой, качественный, тяжелый кирпич в виде безапелляционного доступа администратора абсолютно ко всем данным. Поэтому да, о безопасности говорить можно и нужно, а вот о конфиденциальности данных в рамках WA говорить не приходится. А если даже и захочешь дать Администратору (именно администратору, который должен управлять всей технической стороной вопроса не суя нос в конкретику которая для него не предназначена) только необходимые права - не сможешь, т.к. управление правами в фреймворке (суммарно даже по приложениям WA) супер-мега-деревянное.
С деревянностью не могу не согласиться. Всё сложно, тяжело, больно и страшно. С этим всем как-то приходится всё время выкручиваться, но пока плаваем т.к. в небольших группах / коллективах, работающих в оффлайне вместе одной командой с этим жить можно даже в такой реализации. Если укрупняться, то сложностей становится больше в разы.