CMS: acerca de los permisos de las colecciones
7 min de lectura
En el CMS (Sistema de gestión de contenido), puedes cambiar los permisos de las colecciones para controlar quién puede ver, agregar, actualizar o eliminar el contenido de las colecciones en tu sitio online. La forma más común en que los visitantes modifican el contenido de las colecciones desde el sitio online es con elementos de entrada configurados para recopilar contenido.
Los permisos de las colecciones te ayudan a administrar el acceso del sitio online al contenido de tu colección y a mantener la seguridad de los datos de tu sitio. Por ejemplo, si tienes una comunidad online, es posible que desees permitir que solo los miembros registrados vean ciertas colecciones y contribuyan en ellas, lo que garantiza que la información confidencial permanezca dentro de una base de usuarios de confianza.
Usuarios de Velo by Wix:
La API de datos de Wix te permite acceder a tus colecciones directamente usando código, lo que te brinda más capacidades además de los permisos de colección preestablecidos y personalizados.
Administrar el acceso del sitio online al contenido de las colecciones
Los permisos de las colecciones determinan quién puede acceder al contenido de la colección del CMS desde el sitio online y qué puede hacer con el contenido (por ejemplo, ver, agregar ítems, actualizar contenido existente, eliminar contenido). Por lo general, esto se hace con elementos de entrada, pero también con la API de datos. Los colaboradores siempre se consideran "administradores" en los permisos de las colecciones que controlan lo que las personas pueden realizar desde el sitio online.
Acerca de los propietarios del sitio y los colaboradores:
Los propietarios del sitio y los colaboradores siempre son tratados como administradores cuando inician sesión en el sitio online. Esto significa que siempre pueden ver, agregar, actualizar y eliminar el contenido de las colecciones desde el sitio online. Esta regla se aplica independientemente del permiso de colección que selecciones.
Usar el permiso "Mostrar contenido" para el acceso de solo lectura
El permiso "Mostrar contenido" permite que los visitantes del sitio puedan ver el contenido de tu colección en el sitio online. Esta configuración resulta útil cuando deseas que cierta información sea de acceso público sin permitir ninguna modificación. Puedes elegir hacer que el contenido sea visible para todos o restringirlo solo a los miembros del sitio. Esto garantiza que el contenido confidencial permanezca protegido y, al mismo tiempo, sea accesible para quienes lo necesitan.
Es importante tener en cuenta que, según los permisos que apliques, aún se puede acceder al contenido de las colecciones si no aparece en tu sitio online. Por ejemplo, si se selecciona "Todos" en "¿Quién puede ver este contenido?", cualquiera puede usar la API de datos para ver el contenido de la colección.
Usar el permiso "Recopilar contenido" para permitir que se agreguen nuevos ítems
El permiso "Recopilar contenido" permite a los visitantes agregar nuevos ítems a tu colección a través de elementos de entrada o la API. Esto resulta de especial utilidad para los sitios que recopilan contenido generado por los usuarios, como reseñas, comentarios o entradas. Sin embargo, este permiso no permite a los visitantes actualizar ítems existentes o sus valores de campo. Usa permisos personalizados si necesitas permitir que los ítems existentes o sus valores de campo se actualicen desde el sitio online.
Puedes decidir si cualquier visitante del sitio o solo los miembros del sitio pueden agregar contenido nuevo a la colección. Además, es posible controlar quién puede ver el contenido agregado y garantizar que cumpla con los estándares de privacidad y seguridad de tu sitio.
Los ajustes del conjunto de datos afectan a las acciones que se pueden realizar en la página, pero solo los permisos de las colecciones pueden limitar las operaciones que varios roles pueden realizar en los datos. Más información sobre cómo configurar los ajustes del conjunto de datos.
Establecer el permiso "Personalizado" para tener más control de acceso
Para tener más control sobre quién puede ver, agregar, actualizar o eliminar contenido, configura el permiso "Personalizado". Esto te permite personalizar el acceso en función de los diferentes roles, como administradores del sitio, autores de ítems, miembros y visitantes del sitio en general. Por ejemplo, puedes permitir que solo los administradores eliminen contenido, mientras que los autores de ítems actualizan sus propios envíos. Esta flexibilidad garantiza que puedas administrar el contenido de tu colección de una manera que se ajuste a las necesidades y los requisitos de seguridad específicos de tu sitio.
Al usar el permiso Personalizado, asegúrate de que los permisos que asignas coincidan con la lógica comercial y la clasificación de confidencialidad de los datos de la colección. Por ejemplo, las colecciones con detalles sobre clientes o clientes potenciales deben tratarse de manera diferente a las colecciones sobre productos.
Nota:
Los permisos de acceso a los datos no cambian con el cifrado de PII. Se deben establecer los permisos adecuados para mantener la confidencialidad de los datos. Más información sobre la PII y la seguridad de los datos.
Modificar los permisos para todas las colecciones
Comprender y administrar los permisos de todas tus colecciones es fundamental para mantener la integridad y la seguridad de tu sitio. Cada colección puede tener su propio conjunto de permisos, lo que te permite personalizar el acceso según el tipo de contenido y la audiencia a la que te diriges. Al revisar y ajustar periódicamente estos permisos, puedes asegurarte de que los datos de tu sitio permanezcan seguros y de que los usuarios tengan el nivel de acceso adecuado.
Los roles que ves en la tabla de permisos personalizados se asignan a los visitantes del sitio online en función de su actividad y estado en el sitio. Los roles de CMS que asignas a los colaboradores no importan en los permisos de las colecciones, ya que todos los colaboradores se consideran administradores en lo que respecta a los permisos de la colección en el sitio online.
Sin embargo, con Velo, puedes implementar un rol personalizado en una colección usando código para realizar una llamada de datos desde el backend con la opción suppressAuth. La llamada de datos debe realizarse después de que el rol personalizado de membresía se valide con la funcionalidad de la API wix-users en el código.
El administrador siempre conserva los permisos para todas las acciones. Cuando obtienes una vista previa de tu sitio, lo haces en el rol de administrador. Para interactuar como otro tipo de usuario, primero publica tu sitio y luego navega a tu sitio online e inicia sesión como un usuario diferente (miembro del sitio) o no inicies sesión (cualquiera). Recuerda que si se habilitan colecciones de Sandbox están habilitadas en tu sitio, tu sitio online funciona con las colecciones online y no con las colecciones de Sandbox.
Velo de Wix: supresión de autorización
Al interactuar con tus colecciones usando la API de datos, puedes optar por omitir el modelo de permisos en ciertos casos. El argumento opcional WixDataOptions se puede enviar a la llamada a la función de la API con la propiedad deleteAuth establecida en true. Esto hará que la función se ejecute sin verificar si el usuario actual tiene los permisos correctos. Solo puedes omitir los permisos al realizar llamadas a la API desde el código del backend. Las llamadas a la API del lado del cliente siempre ejecutarán verificaciones de permisos, independientemente de las opciones que se transmitan.
Por ejemplo, una colección puede contener comentarios, así como la dirección de email del autor del comentario. Los visitantes deberían poder ver los comentarios; sin embargo, solo el administrador debe poder ver las direcciones de email. La supresión de la autorización puede permitir que los visitantes vean los comentarios sin otorgarles permiso para "leer" la colección de comentarios.
Esto se puede hacer al escribir un módulo web en un archivo jsw en el backend que llamará a la colección de comentarios con la propiedad suppressAuth establecida en Verdadero, y luego filtrará la respuesta y devolverá solo los campos deseados (comentarios) al cliente para que el visitante los vea sin los otros campos de la colección y particularmente, sin los emails.
1import wixData from 'wix-data';
2// ...
3let options = {
4 "suppressAuth": true
5};
6wixData.query("myCollection")
7 .find(options)
8 .then( (results) => {
9 if(results.items.length > 0) {
10 let items = results.items;
11 let firstItem = items[0];
12 } else {
13 // handle case where no matching items found
14 }
15 } )
16 .catch( (error) => {
17 let errorMsg = error.message;
18 let code = error.code;
19 } );Otro ejemplo para el uso de suppressAuth es cuando deseas permitir un rol personalizado (un miembro del sitio específico o un grupo específico de miembros del sitio) accede a una colección configurada con permisos de administrador. En este caso, el módulo web debe verificar la identidad o el rol del miembro del sitio antes de solicitar los datos.
Notas:
- Los permisos de la colección afectan a los datos cargados por los conjuntos de datos que se conectan a la colección. Más información sobre los modos del conjunto de datos, que determinan si el conjunto de datos puede leer, escribir o leer y escribir datos de la colección.
- Los ajustes del conjunto de datos se pueden usar para refinar qué operaciones de datos pueden realizar los elementos conectados a ese conjunto de datos específico. Los datos siempre están disponibles en la medida especificada por los permisos de la colección mediante la API de datos.
- Algunos roles dependen de que tengas un Área personal en tu sitio. Si usas Velo by Wix, también puedes agregar la funcionalidad de membresía con la API wix-members-backend.
役に立ちましたか?
|