npm - @ozdao/martyrs - Versions diffs - 0.2.473 → 0.2.474 - Mend

@ozdao/martyrs 0.2.473 → 0.2.474

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (134) hide show

package/src/modules/organizations/policies/organizations.policies.js CHANGED Viewed

@@ -24,7 +24,11 @@ module.exports = function initializeOrganizationPolicies(abacAccessControl, db)
     const { user, resource, data, action, currentResource, req } = context;
     if (!resource || !action) {
-      return false; // Защита от отсутствия обязательных параметров
+      return {
+        allow: false,
+        force: false,
+        reason: 'MISSING_REQUIRED_PARAMETERS'
+      };
     }
     // Безопасный поиск ID организации
@@ -44,72 +48,124 @@ module.exports = function initializeOrganizationPolicies(abacAccessControl, db)
     const orgId = findOrgId();
-    if (orgId) {
-      // Если пользователь указан, проверяем его доступы
-      if (user) {
-        try {
-          // Проверяем, является ли пользователь владельцем организации
-          const objectId = new db.mongoose.Types.ObjectId(orgId);
-          const isOrgOwner = await Organization.exists({
-            _id: objectId,
-            owner: user
-          });
-          if (isOrgOwner) {
-            return true; // Пользователь владелец, доступ есть
-          }
-          // Проверяем доступы в департаментах
-          const departments = await Department.find({
-            organization: objectId,
-            'members.user': user
-          });
-          const hasAccess = departments.some(department => {
-            const accessRights = department.accesses?.[resource];
-            return accessRights && accessRights[action];
-          });
-          if (hasAccess) {
-            return true; // Доступ через департамент есть
-          }
-        } catch (error) {
-          console.error('Error checking user access:', error);
-          return false;
+    // Если не связано с организацией, пропускаем эту политику
+    if (!orgId) {
+      return {
+        allow: true,
+        force: false,
+        reason: 'NOT_ORGANIZATION_RESOURCE'
+      };
+    }
+    // Если пользователь указан, проверяем его доступы
+    if (user) {
+      try {
+        // Проверяем, является ли пользователь владельцем организации
+        const objectId = new db.mongoose.Types.ObjectId(orgId);
+        const isOrgOwner = await Organization.exists({
+          _id: objectId,
+          owner: user
+        });
+        if (isOrgOwner) {
+          return {
+            allow: true,
+            force: true, // Владелец организации получает принудительный доступ
+            reason: 'ORGANIZATION_OWNER_ACCESS'
+          };
+        }
+        // Проверяем доступы в департаментах
+        const departments = await Department.find({
+          organization: objectId,
+          'members.user': user
+        });
+        const hasAccess = departments.some(department => {
+          const accessRights = department.accesses?.[resource];
+          return accessRights && accessRights[action];
+        });
+        if (hasAccess) {
+          return {
+            allow: true,
+            force: false, // Доступ через департамент не является принудительным
+            reason: 'DEPARTMENT_MEMBER_ACCESS'
+          };
         }
+      } catch (error) {
+        console.error('Error checking user access:', error);
+        return {
+          allow: false,
+          force: false,
+          reason: 'ORGANIZATION_ACCESS_CHECK_ERROR'
+        };
       }
-      // Если доступа у пользователя нет, переходим к валидации query
-      if (action === 'read' && req && req.query) {
-        try {
-          // Валидируем параметры запроса
-          const validationResult = publicAccessVerifier.verify(req.query, {
-            only: ['status']
-          });
-          // Обновляем query параметры в запросе
-          req.query = validationResult.verifiedData;
-          // Сохраняем результаты валидации
-          req.queryValidation = validationResult;
-          // Проверяем статус ресурса, если он есть
-          if (currentResource && !publicAccessVerifier.verifyParam('status', currentResource.status)) {
-            return false; // Если статус невалидный, доступ запрещён
-          }
-          return validationResult.isValid; // Возвращаем результат валидации
-        } catch (error) {
-          console.error('Error validating query:', error);
-          return false;
+    }
+    // Если доступа у пользователя нет, переходим к валидации query для публичного доступа
+    if (action === 'read' && req && req.query) {
+      try {
+        // Валидируем параметры запроса
+        const validationResult = publicAccessVerifier.verify(req.query, {
+          only: ['status']
+        });
+        // Обновляем query параметры в запросе
+        req.query = validationResult.verifiedData;
+        // Сохраняем результаты валидации
+        req.queryValidation = validationResult;
+        // Проверяем статус ресурса, если он есть
+        if (currentResource && !publicAccessVerifier.verifyParam('status', currentResource.status)) {
+          return {
+            allow: false,
+            force: false, // Принудительно запрещаем доступ к непубличным ресурсам
+            reason: 'INVALID_RESOURCE_STATUS_FOR_PUBLIC_ACCESS'
+          };
+        }
+        if (validationResult.isValid) {
+          return {
+            allow: true,
+            force: false,
+            reason: 'PUBLIC_ACCESS_ALLOWED'
+          };
+        } else {
+          return {
+            allow: false,
+            force: false, // Принудительно запрещаем, если невалидные параметры
+            reason: 'INVALID_PUBLIC_ACCESS_PARAMETERS'
+          };
         }
+      } catch (error) {
+        console.error('Error validating query:', error);
+        return {
+          allow: false,
+          force: false,
+          reason: 'QUERY_VALIDATION_ERROR'
+        };
       }
-      // Доступ запрещён, если ни одна проверка не прошла
-      return false;
     }
-    return true; // Если организация не указана, доступ разрешен
+    // Для других операций, кроме read (create, edit, delete),
+    // если пользователь не имеет прав, принудительно запрещаем
+    if (action !== 'read') {
+      return {
+        allow: false,
+        force: false,
+        reason: 'ORGANIZATION_RESOURCE_OPERATION_FORBIDDEN'
+      };
+    }
+    // Для read, если не прошли ни одну проверку,
+    // принудительно запрещаем доступ к ресурсу организации
+    return {
+      allow: false,
+      force: false,
+      reason: 'ORGANIZATION_RESOURCE_ACCESS_DENIED'
+    };
   });
   // Добавляем методы для управления валидатором в ABAC с защитой от внедрения

package/src/modules/products/components/pages/CategoryEdit.vue CHANGED Viewed

@@ -17,8 +17,7 @@
       title="Profile"
       class="mn-b-thin"
     >
-       <div class="mn-b-medium w-100 flex-nowrap gap-thin flex">
+      <div class="mn-b-medium w-100 flex-nowrap gap-thin flex">
         <UploadImage
            v-model:photo="categories.state.current.photo"
           :uploadPath="'categories'"
@@ -239,9 +238,35 @@
   // Functions
   async function onSubmit() {
     if (route.params.category) {
+      categories.state.current.creator = {
+        type: categories.state.current.creator.type,
+        hidden: categories.state.current.creator.hidden,
+        target: categories.state.current.creator.target._id
+      }
+      categories.state.current.owner = {
+        type: categories.state.current.owner.type,
+        target: categories.state.current.owner.target._id
+      }
       await categories.actions.update(categories.state.current)
       redirectTo()
     } else {
+      categories.state.current.creator = {
+        type: 'user',
+        hidden: false,
+        target: auth.state.user._id
+      }
+      categories.state.current.owner = {
+        type: route.params._id ? 'organization' : 'platform',
+        hidden: false,
+        target: route.params._id ? route.params._id : null
+      }
       await categories.actions.create(categories.state.current)
       redirectTo()
     }

package/src/modules/products/components/pages/Product.vue CHANGED Viewed

@@ -220,6 +220,7 @@ async function addToCart(product, selectedDates = null) {
       if (!result) throw error
       shopcart.state.positions = []
+      shopcart.state.organization = product.owner.target._id
     }
     if (typeof gtag === 'function') {

package/src/modules/products/components/pages/ProductEdit.vue CHANGED Viewed

@@ -53,11 +53,11 @@
 		      function: () => router.push({
 						name: 'Categories',
 						params: {
-							_id: route.params._id
+							_id: route.params._id || products.state.current.owner.target._id
 						}
 					})
 		    }]"
-		    class="h-100 o-y-scroll"
+		    class="h-100 h-min-30r o-y-scroll"
 			>
 		    <Tree
 	        v-if="categories.state.all"