verdnatura/salix
verdnatura
/
salix
3
4
Fork 0
Code Issues Pull Requests 67 Releases Wiki Activity

#6744 fix worker setPassword #2027

Merged
jorgep merged 18 commits from 6744-fixWorkerSetPassword into dev 2024-03-15 09:48:14 +00:00
Conversation 0 Commits 18 Files Changed 8 +23 -36
7 changed files with 23 additions and 36 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files
Showing only changes of commit 744dd61561 - Show all commits

3
loopback/locale/en.json
View File

@ -209,5 +209,6 @@
"You cannot update these fields": "You cannot update these fields", "You cannot update these fields": "You cannot update these fields",
"CountryFK cannot be empty": "Country cannot be empty", "CountryFK cannot be empty": "Country cannot be empty",
"You are not allowed to modify the alias": "You are not allowed to modify the alias", "You are not allowed to modify the alias": "You are not allowed to modify the alias",
"You already have the mailAlias": "You already have the mailAlias" "You already have the mailAlias": "You already have the mailAlias",
"The email has been already verified": "The email has been already verified"
} }

3
loopback/locale/es.json
View File

@ -344,5 +344,6 @@
"CountryFK cannot be empty": "El país no puede estar vacío", "CountryFK cannot be empty": "El país no puede estar vacío",
"Cmr file does not exist": "El archivo del cmr no existe", "Cmr file does not exist": "El archivo del cmr no existe",
"You are not allowed to modify the alias": "No estás autorizado a modificar el alias", "You are not allowed to modify the alias": "No estás autorizado a modificar el alias",
"No tickets to invoice": "No hay tickets para facturar" "No tickets to invoice": "No hay tickets para facturar",
"The email has been already verified": "El correo ya ha sido verificado"
} }

11
modules/account/back/models/account.js
View File

@ -1,4 +1,7 @@
const ForbiddenError = require('vn-loopback/util/forbiddenError');
const {models} = require('vn-loopback/server/server');
module.exports = Self => { module.exports = Self => {
require('../methods/account/sync')(Self); require('../methods/account/sync')(Self);
require('../methods/account/sync-by-id')(Self); require('../methods/account/sync-by-id')(Self);
@ -7,4 +10,12 @@ module.exports = Self => {
require('../methods/account/logout')(Self); require('../methods/account/logout')(Self);
require('../methods/account/change-password')(Self); require('../methods/account/change-password')(Self);
require('../methods/account/set-password')(Self); require('../methods/account/set-password')(Self);
Self.setUnverifiedPassword = async(id, pass, options) => {
const user = await models.VnUser.findById(id, null, options);
if (user.emailVerified) throw new ForbiddenError('The email has been already verified');
jgallego commented 2024-02-23 06:20:42 +00:00
Outdated
Review
Copy Link

Si alguien intenta cambiar un password y le mostramos este mensaje de error, no va a saber relacionarlo..
Pensando en Norman yo mostraria algo así como "Esta contraseña solo puede ser modificada por el propio usuario"

Y asegurate que VnUser.setPassword tiene los permisos correctos y nadie lo puede llamar.

Si alguien intenta cambiar un password y le mostramos este mensaje de error, no va a saber relacionarlo.. Pensando en Norman yo mostraria algo así como "Esta contraseña solo puede ser modificada por el propio usuario" Y asegurate que VnUser.setPassword tiene los permisos correctos y nadie lo puede llamar.
jorgep commented 2024-02-23 08:27:56 +00:00
Outdated
Review
Copy Link

En principio lo reviso con isSubordinate en worker->setPassword y dentro de account->setUnverifiedPassword compruebo si el email está verificado. Hay que cambiar el enfoque? @juan @jgallego . setUnverifiedPassword no se puede llamar desde el exterior(http request), solo internamente.

En principio lo reviso con isSubordinate en worker->setPassword y dentro de account->setUnverifiedPassword compruebo si el email está verificado. Hay que cambiar el enfoque? @juan @jgallego . setUnverifiedPassword no se puede llamar desde el exterior(http request), solo internamente.
jorgep commented 2024-02-23 08:35:55 +00:00
Outdated
Review
Copy Link

Traducción cambiada

Traducción cambiada
await models.VnUser.setPassword(id, pass, options);
await user.updateAttribute('emailVerified', true, options);
jorgep marked this conversation as resolved
jgallego commented 2024-02-23 11:24:43 +00:00
Review
Copy Link

porque activas el correo aqui? si el usuario no consigue entrar por cualquier razón no debería verificarse el mail

porque activas el correo aqui? si el usuario no consigue entrar por cualquier razón no debería verificarse el mail
jorgep commented 2024-02-26 07:22:27 +00:00
Review
Copy Link

me lo pidio expresamente @juan . A que te refieres con que no consigue entrar?

me lo pidio expresamente @juan . A que te refieres con que no consigue entrar?
jgallego commented 2024-02-26 07:58:41 +00:00
Review
Copy Link

Considero que és un mal enfoque.
El hecho de cambiar la contraseña no es lo mismo que hacer un login satisfactorio.
Bajo mi punto de vista poner el email verificado a true sólo se debería hacer cuando el usuario ha conseguido hacer un login satisfactorio

Considero que és un mal enfoque. El hecho de cambiar la contraseña no es lo mismo que hacer un login satisfactorio. Bajo mi punto de vista poner el email verificado a true sólo se debería hacer cuando el usuario ha conseguido hacer un login satisfactorio
jorgep commented 2024-02-26 08:52:29 +00:00
Review
Copy Link

Paso la tarea a feedback pues

Paso la tarea a feedback pues
jgallego commented 2024-02-28 08:15:59 +00:00
Review
Copy Link

después de hablar con Juan quitar await user.updateAttribute('emailVerified', true, options);
poner el email verificado a true sólo se debería hacer cuando el usuario ha conseguido hacer un login satisfactorio

después de hablar con Juan quitar await user.updateAttribute('emailVerified', true, options); poner el email verificado a true sólo se debería hacer cuando el usuario ha conseguido hacer un login satisfactorio
};
}; };

15
modules/worker/back/methods/worker/setPassword.js
View File

@ -19,8 +19,7 @@ module.exports = Self => {
verb: 'PATCH' verb: 'PATCH'
} }
}); });
Self.setPassword = async(ctx, workerId, newPass, options) => { Self.setPassword = async(ctx, id, newPass, options) => {
const userId = ctx.req.accessToken.userId;
const models = Self.app.models; const models = Self.app.models;
const myOptions = {}; const myOptions = {};
let tx; let tx;
@ -31,17 +30,11 @@ module.exports = Self => {
tx = await Self.beginTransaction({}); tx = await Self.beginTransaction({});
myOptions.transaction = tx; myOptions.transaction = tx;
} }
try { try {
const isHimself = userId === workerId; const isSubordinate = await Self.isSubordinate(ctx, id, myOptions);
const isSubordinate = await Self.isSubordinate(ctx, workerId, myOptions); if (!isSubordinate) throw new UserError('You don\'t have enough privileges.');
jorgep marked this conversation as resolved Outdated
juan commented 2024-03-06 14:23:22 +00:00
Outdated
Review
Copy Link

Lanzar ForbiddenError indicando en el mensaje que no es subordinado.

Lanzar ForbiddenError indicando en el mensaje que no es subordinado.
const {emailVerified} = await models.VnUser.findById(workerId, {fields: ['emailVerified']}, myOptions);
jorgep marked this conversation as resolved Outdated
jgallego commented 2024-02-16 11:35:42 +00:00
Outdated
Review
Copy Link

isHimself

isHimself
juan commented 2024-02-20 16:13:11 +00:00
Outdated
Review
Copy Link

No pondría aquí isHimself, para cambiarse la contraseña uno mismo que se utilice el método tradicional que yahace las comprobaciones de seguridad correspondientes

No pondría aquí `isHimself`, para cambiarse la contraseña uno mismo que se utilice el método tradicional que yahace las comprobaciones de seguridad correspondientes
if (isHimself || (isSubordinate && !emailVerified)) { await models.Account.setUnverifiedPassword(id, newPass, myOptions);
jorgep marked this conversation as resolved
jgallego commented 2024-02-23 11:32:07 +00:00
Review
Copy Link

no podemos poner aquí el contenido de setUnverifiedPassword?
es necesario crear ese método?

no podemos poner aquí el contenido de setUnverifiedPassword? es necesario crear ese método?
jorgep commented 2024-02-26 07:15:44 +00:00
Review
Copy Link

me lo pidio exprasemente @juan

me lo pidio exprasemente @juan
await models.VnUser.setPassword(workerId, newPass, myOptions);
await models.VnUser.updateAll({id: workerId}, {emailVerified: true}, myOptions);
} else
throw new UserError('You don\'t have enough privileges.');
if (tx) await tx.commit(); if (tx) await tx.commit();
} catch (e) { } catch (e) {

18
modules/worker/back/methods/worker/specs/setPassword.spec.js
View File

@ -42,23 +42,7 @@ describe('worker setPassword()', () => {
await tx.rollback(); await tx.rollback();
} catch (e) { } catch (e) {
expect(e.message).toEqual(`You don't have enough privileges.`); expect(e.message).toEqual(`The email has been already verified`);
await tx.rollback();
}
});
it('should change the password if it is himself', async() => {
const tx = await models.Worker.beginTransaction({});
try {
const options = {transaction: tx};
await models.VnUser.updateAll({id: managerId}, {emailVerified: true}, options);
await models.Worker.setPassword(ctx, managerId, newPass, options);
const isNewPass = await passHasBeenChanged(managerId, newPass, options);
expect(isNewPass).toBeTrue();
await tx.rollback();
} catch (e) {
await tx.rollback(); await tx.rollback();
} }
}); });

2
modules/worker/front/descriptor/index.html
View File

@ -11,7 +11,7 @@
? 'Click to allow the user to be disabled' ? 'Click to allow the user to be disabled'
: 'Click to exclude the user from getting disabled'}} : 'Click to exclude the user from getting disabled'}}
</vn-item> </vn-item>
<vn-item ng-if="!$ctrl.worker.user.emailVerified || $ctrl.id == $ctrl.userFk" ng-click="setPassword.show()" translate> <vn-item ng-if="!$ctrl.worker.user.emailVerified && $ctrl.vnConfig.storage.currentUserWorkerId !=$ctrl.worker.id" ng-click="setPassword.show()" translate>
jgallego commented 2024-02-23 06:16:27 +00:00
Review
Copy Link

creo que esta mal esta comprobación, en que casos quieres que se muestre?

creo que esta mal esta comprobación, en que casos quieres que se muestre?
jorgep commented 2024-02-23 07:39:48 +00:00
Review
Copy Link

Solo si el email no está verificado y no es el mismo. Tras lo hablado con Juan, si eres tú mismo, te cambiarás la contraseña desde otro lado. @jgallego

Solo si el email no está verificado y no es el mismo. Tras lo hablado con Juan, si eres tú mismo, te cambiarás la contraseña desde otro lado. @jgallego
Change password Change password
</vn-item> </vn-item>
</slot-menu> </slot-menu>

7
modules/worker/front/descriptor/index.js
View File

@ -5,9 +5,6 @@ class Controller extends Descriptor {
constructor($element, $, $rootScope) { constructor($element, $, $rootScope) {
super($element, $); super($element, $);
this.$rootScope = $rootScope; this.$rootScope = $rootScope;
this.$http.get(`UserConfigs/getUserConfig`)
.then(res => this.userFk = res.data.userFk);
} }
get worker() { get worker() {
@ -93,11 +90,11 @@ class Controller extends Descriptor {
`Workers/${this.entity.id}/setPassword`, {newPass: this.newPassword} `Workers/${this.entity.id}/setPassword`, {newPass: this.newPassword}
) .then(() => { ) .then(() => {
this.vnApp.showSuccess(this.$translate.instant('Password changed!')); this.vnApp.showSuccess(this.$translate.instant('Password changed!'));
}); }).then(() => this.loadData());
} }
} }
Controller.$inject = ['$element', '$scope', '$rootScope']; Controller.$inject = ['$element', '$scope', '$rootScope', 'vnConfig'];
ngModule.vnComponent('vnWorkerDescriptor', { ngModule.vnComponent('vnWorkerDescriptor', {
template: require('./index.html'), template: require('./index.html'),