"Daten im Frontend editieren" verhält sich anders als gewohnt

In meinen Formularen konnten Administratoren bisher Daten im Frontend editieren, unabhängig davon, ob der zu editierende Datensatz freigegeben ist oder nicht. Seit Einführung der neuen Formularberechtigungen geht das nur noch, wenn entweder der Datensatz freigegeben ist oder, noch "ungewohnter", der "Daten Status eigener Datensätze bearbeiten" erlaubt ist.
Das ist doch sicher nicht so gewollt, oder? Einige Bilder zur Veranschaulichung...

Formularberechtigungen, so wie sie bisher (logisch richtig) funktionierten. Admins konnten alle Datensätze sperren/freigeben/editieren.

Seit dem Update sieht das so aus:


Editieren jetzt nur noch möglich, wenn der Datensatz freigegeben ist/wird oder "Daten Status eigener Datensätze bearbeiten" erlaubt ist, wie hier:


Bitte um Hilfe oder Verständnisaufklärung.

Hallo Heinz,

die Rechteverwaltung ist ziemlich komplex.
Wir hatten diese Anfrage für das zusätzliche Feature, dass es möglich sein sollte, eigene Datensätze zu veröffentlichen/zu sperren.
Wir fanden das eine intressante Anwendung, hatten allerdings schon ein bisschen Bauchschmerzen hinsichtlich der Entwicklung, weil die Gefahr, dass in diesem komplexen Zusammenhang eine unerwünschte Nebenwirkung auftritt recht groß ist.
Wir haben das Feature aber trotzdem entwickelt und nun hast du wohl die unerwünschte Nebenwirkung gefunden.

Ich muss mir anschauen ob ich das so reproduzieren kann und wenn ja, wo das Problem genau her kommt.
Aktuell wirst du wohl die neue Berechtigung für die Administratoren auf "Erlaubt" stellen müssen, auch wenn das nicht wirklich sinnvoll erscheint.

Im Moment habe ich extrem viel zu tun, deshalb weiß ich nicht wann ich dazu komme, mir das anzusehen.
Ich melde mich, wenn ich Neuigkeiten haben.

Gruß,
Aicha

Hallo Heinz,

ich hatte Zeit mir die Rechteverwaltung noch einmal in Ruhe anzusehen.

Wie bereits erwähnt.
Die Rechteverwaltung ist komplex und kann auch verwirrend sein.
Allerdings konnte ich in meinen Tests das von dir beschriebene Problem nicht nachvollziehen.
Meines Erachtens funktioniert die Rechteverwaltung fehlerfrei und wie erwartet.

Im Visforms 4.1.6/Subscription 4.1.3 gab es 3 Berechtigungen.

• Daten Status bearbeiten
• Daten im Frontend editieren
• Eigene Daten im Frontend editieren

Welche Datensätze im Menüeintrag von Typ Visforms >> Formulardaten mit Edit Link angezeigt wurden, hängt von diesen 3 Berechtigungen ab und davon, ob in der Konfiguration des Menüeitrags unter "Optionen für Formulardaten anzeigen" die Option "Nur editierbare Datensätze zeigen" aktiviert ist oder nicht.

Bei welchen Datensätzen dann zusätzlich das "Bearbeiten" Icon und/oder das "Veröffentlichen" Icon angezeigt wird, hängt von den 3 erwähnten Berechtigungen ab.
Nicht veröffentliche Datensätze werden nur angezeigt, wenn die Berechtigung "Daten Status bearbeiten" erlaubt ist.
Wenn diese Berechtigung gesetzt ist wird zusätzlich bei jedem Datensatz das "Veröffentlichen" Icon angezeigt.
Das "Bearbeiten" Icon wird abhängig von den beiden "editieren" Berechtigungen entweder bei keinem, bei jedem oder bei den eigenen Datensätzen angezeigt.


In der Visforms 4.1.7/Subscription 4.1.4 gibt es nun 4 Berechtigungen.

• Daten Status bearbeiten
• Daten Status eigener Datensätze bearbeiten
• Daten im Frontend editieren
• Eigene Daten im Frontend editieren

Jede dieser Berechtigungen tut genau das, was ihr Name aussagt.
Ist die Berechtigung ohne den Zusatz "eigene Daten" erlaubt, dann werden alle Datensätze angezeigt und bei allen Datensätze wird sowohl das Das "Bearbeiten" Icon als auch das "Veröffentlichen" Icon angezeigt.
D.h. in meinen Tests kann der Admin, wenn die Berechtigung "Daten Status bearbeiten" erlaubt ist, immer auch die nicht veröffentlichten Datensätze sehen und den Status ändern.
Ist zusätzlich die Berechtigung "Daten im Frontend editieren" erlaubt, dann kann er auch alle Datensätze (veröffentlichte und nicht veröffentlichte) bearbeiten.
Hier die Screenshots:




Nicht veröffentliche Datensätze werden angezeigt und können bearbeitet werden.

Wenn nur die Berechtigung "Daten Status eigener Datensätze bearbeiten" erlaubt ist, dann werden alle eigenen nicht veröffentlichten Datensätze mit angezeigt und können veröffentlicht werden.
Ist nur "Eigene Daten im Frontend editieren" erlaubt, dann werden nur veröffentlichte Datensätze gezeigt und nur bei den eigenen das "Bearbeiten" Icon angezeigt.

Es funktioniert also eigentlich alles vollkommen logisch und auch genau so wie es soll.

Ich kann dir also leider nicht wirklich sagen, warum sich das bei dir komisch verhält.
Ein Punkt, der mir einfällt ist: Wenn ein Benutzer mehreren Gruppen zugeordnet ist, dann ist die Sache noch etwas komplexer.
Aber eigentlich gewinnt dann für jedes einzelne Recht immer die Benutzergruppe mit den höheren Rechten.
Das würde das von dir beschriebene Verhalten, also eigentlich auch nicht erklären.

Hast du auf deiner Webseite vielleicht eine spezielle ACL-Komponente installiert, die da irgendwie reinspucken könnte?

Gruß,
Aicha

Danke Aicha für deine ausführliche Recherche. Ich benutze "eigentlich" keine ACL- Komponente, aber was heißt schon "eigentlich". Zusätzlich zu Joomla und Visforms nur Akeeba und einen DJ-Slider. Habe ich zum Test deaktiviert. Plugins sind nur 4 eigene Helferlein. Alle ohne ACL-Eingriff. Testweise trotzdem deaktiviert. Aber der Admin war tatsächlich Mitglied in 2 Gruppen. Aber:
Auch als "nur" Administrator funktioniert das Bearbeiten von nicht veröffentlichten Datensätzen nicht.
Daten Status bearbeiten und Daten im Frontend editieren sind erlaubt. Alle Datensätze, auch alle ICON(s) werden ja angezeigt, wie gewollt und gewohnt. Wenn ich aber das BearbeitenIcon eines nicht veröffentlichten Datensatzes anklicke, kommt die Fehlermeldung "keine ausreichende Berechtigung".
Wenn ich erst die Datailansicht öffne, gibt's auch den Button "Daten bearbeiten". Aber auch da kommt nach dem Anklicken nur die Fehlermeldung.
Ich habe keine Idee zur Lösung, zumal es ja bisher auch funktionierte. An den Berechtigungen wurde auch nix geändert. Die neue "eigene" Berechtigung nutze ich (noch) nicht.

Hallo Heinz,

Alle Datensätze, auch alle ICON(s) werden ja angezeigt, wie gewollt und gewohnt. Wenn ich aber das BearbeitenIcon eines nicht veröffentlichten Datensatzes anklicke, kommt die Fehlermeldung "keine ausreichende Berechtigung".

Das ist natürlich eine komplett andere Fehlerbeschreibung. Ich bin davon ausgegangen, dass die Datensätzen/Icons nicht korrekt angezeigt werden.

Diesen Fehler, also dass nach dem Klick auf das Bearbeiten Symbol die Meldung kommt "keine ausreichende Berechtigung" kann ich reproduzieren.
Das ist natürlich nicht gewollt und ein Bug, den ich beheben muss.

Gruß,
Aicha

Hallo Heinz,
ich hatte nun endlich Zeit, mich nochmals mit dem Problem zu befassen.

Da hatte sich tatsächlich ein Logik-Fehler eingeschlichen.
Datei: components/com_visforms/src/Model/EditModel.php
Zeile 79:
Alt: Neu: (Also && nicht ||)

Und weil ich jetzt wirklich noch mal alle ACL Kombinationen in dieser Ansicht getetst habe, habe ich tatsächlich noch was gefunden.
Selbe Datei Zeile 84.
Dort muss es statt . Ansonsten gibt es da einen SQL-Fehler.

Gib bitte eine Rückmeldung, ob dieser Fix bei dir funktioniert.

Danke,
Aicha