Système de gestion de contenu (CMS) : À propos des autorisations de collection

Dans le Système de gestion de contenu (CMS), vous pouvez modifier les autorisations de votre collection pour contrôler qui peut consulter, ajouter, mettre à jour ou en supprimer le contenu sur votre site en ligne. La manière la plus courante dont les visiteurs modifient le contenu de la collection à partir du site en ligne est d'utiliser des éléments de saisie définis pour collecter du contenu. 

Les autorisations de collection vous aident à gérer l'accès du site en ligne au contenu de votre collection et à maintenir la sécurité des données de votre site. Par exemple, si vous gérez une communauté en ligne, vous pouvez autoriser uniquement les membres enregistrés à consulter et à contribuer à certaines collections, en vous assurant que les informations sensibles restent dans votre base d'utilisateurs de confiance.

Les autorisations de collection déterminent qui peut accéder au contenu de la collection du système de gestion de contenu (CMS) à partir de votre site en ligne et ce qu'il peut faire avec le contenu (ex. consulter, ajouter des éléments, mettre à jour le contenu existant, supprimer le contenu). Généralement, cela se fait avec des éléments de saisie, mais peut également être fait avec l'API de données. Les collaborateurs sont toujours considérées comme des « administrateurs » dans les autorisations de collection qui contrôlent ce que les personnes peuvent faire depuis le site en ligne.

Découvrez comment modifier les autorisations de votre collection à partir des paramètres de la collection. 

L'autorisation « Afficher le contenu » permet au contenu de votre collection d'être visible sur le site en ligne par les visiteurs du site. Ce paramètre est utile lorsque vous souhaitez rendre certaines informations accessibles au public sans autoriser aucune modification. Vous pouvez choisir de rendre le contenu visible par tout le monde, ou de le restreindre aux membres du site uniquement. Cela garantit que le contenu sensible reste protégé tout en étant accessible à ceux qui en ont besoin.

Il est important de noter qu'en fonction des autorisations que vous appliquez, le contenu de la collection est toujours accessible s'il n'apparaît pas sur votre site en ligne. Par exemple, si « Tout le monde » est sélectionné sous «  Qui peut voir ce contenu », alors tout le monde peut utiliser l'API de données pour voir le contenu de la collection. 

L'autorisation « Collecter le contenu » permet aux visiteurs d'ajouter de nouveaux éléments à votre collection via des éléments de saisie ou une API. Cette option est particulièrement utile pour les sites qui recueillent du contenu généré par les utilisateurs, tel que des avis, des commentaires ou des posts. Toutefois, cette autorisation ne permet pas aux visiteurs de mettre à jour les éléments existants ou les valeurs de leurs champs. Utilisez des autorisations personnalisées si vous devez autoriser la mise à jour d'éléments existants ou de leurs valeurs de champ à partir du site en ligne. 

Vous pouvez décider si n'importe quel visiteur du site ou seulement les membres du site peuvent ajouter du contenu à la collection. Vous pouvez également contrôler qui peut voir le contenu ajouté, en vous assurant qu'il répond aux normes de confidentialité et de sécurité de votre site.

Les paramètres de l'ensemble de données ont un impact sur les actions qui peuvent être effectuées sur la page, mais seules les autorisations de collection peuvent en fait limiter les opérations qui peuvent être effectuées sur les données par différents rôles. En savoir plus sur la configuration des paramètres d'ensemble de données. 

Pour contrôler davantage qui peut consulter, ajouter, mettre à jour ou supprimer du contenu, configurez des autorisations « personnalisées ». Cela vous permet d'adapter l'accès en fonction de différents rôles, tels que les administrateurs du site, les créateurs d'éléments, les membres et les visiteurs du site en général. Par exemple, vous pouvez autoriser uniquement les administrateurs à supprimer du contenu, tout en permettant aux créateurs d'éléments de mettre à jour leurs propres envois. Cette flexibilité garantit que vous pouvez gérer le contenu de votre collection d'une manière qui s'aligne sur les besoins spécifiques de votre site et les exigences de sécurité.

Lorsque vous utilisez des autorisations personnalisées, assurez-vous que les autorisations que vous attribuez correspondent à la logique métier et à la classe de confidentialité des données de la collection. Par exemple, les collections avec des informations sur les clients ou les prospects doivent être traitées différemment des collections sur les articles.

Comprendre et gérer les autorisations pour toutes vos collections est essentiel pour maintenir l'intégralité et la sécurité de votre site. Chaque collection peut avoir son propre ensemble d'autorisations, vous permettant de personnaliser l'accès en fonction du type de contenu et de l'audience cible. En examinant et en ajustant ces autorisations régulièrement, vous pouvez vous assurer que les données de votre site restent sécurisées et que les utilisateurs ont le niveau d'accès approprié.

Les rôles que vous voyez dans le tableau des autorisations personnalisées sont attribués aux visiteurs du site en ligne en fonction de leur activité et de leur statut sur le site. Les rôles dans le système de gestion de contenu que vous attribuez aux collaborateurs n'ont pas d'importance dans les autorisations de collection, car tous les collaborateurs sont considérés comme des administrateurs en ce qui concerne les autorisations de collection sur le site en ligne. 

Cependant, avec Velo, vous pouvez mettre en place un rôle personnalisé sur une collection en utilisant du code pour effectuer un appel de données depuis le back-end avec l'option suppressAuth. L'appel de données doit être effectué après que le rôle personnalisé d'adhérent a été validé avec la fonctionnalité API wix-users dans le code. 

L'administrateur conserve toujours les autorisations pour toutes les actions. Lorsque vous prévisualisez votre site, vous le faites avec le rôle d'administrateur. Pour interagir avec un autre type d'utilisateur, publiez d'abord votre site, puis accédez à votre site en ligne et connectez-vous en tant qu'utilisateur différent (membre du site) ou ne vous connectez pas du tout (tout le monde). N'oubliez pas que, si les collections sandbox sont activés sur votre site, votre site en ligne fonctionne avec les collections en ligne et non avec les collections sandbox.

Lorsque vous interagissez avec vos collections à l'aide de l'API de données, vous pouvez choisir de contourner le modèle d'autorisation dans certains cas. L'argument facultatif WixDataOptions peut être envoyé à l'appel de la fonction API avec la propriété suppressAuth définie sur true. Cela entraînera l'exécution de la fonction sans vérifier si l'utilisateur actuel dispose des autorisations appropriées. Vous pouvez contourner les autorisations uniquement lorsque vous effectuez des appels d'API à partir du code back-end. Les appels d'API côté client effectueront toujours des contrôles d'autorisation, quelles que soient les options acceptées.

Par exemple, une collection peut contenir des commentaires ainsi que l'adresse e-mail du créateur du commentaire. Les visiteurs doivent pouvoir consulter les commentaires, mais seul l'administrateur doit pouvoir consulter les adresses e-mail. La suppression de l'autorisation peut permettre aux visiteurs de consulter les commentaires sans leur accorder l'autorisation de « lire » la collection des commentaires.

Pour ce faire, vous pouvez écrire un module web dans un fichier d'extension .jsw dans le back-end qui appellera la collection de commentaires avec la propriété suppressAuth définie sur true puis filtrer la réponse et renvoyer uniquement les champs souhaités (commentaires) au client pour que le visiteur puisse les consulter, sans les autres champs de la collection, en particulier sans les e-mails.

Un autre exemple pour l'utilisation de suppressAuth, est l'endroit où vous souhaitez autoriser l'accès d'un [rôle personnalisé (un membre spécifique du site ou un groupe spécifique de membres du site) à une collection qui est définie avec des autorisations d'administrateur. Dans ce cas, le module web doit vérifier l'identité ou le rôle du membre du site avant d'appeler les données.