CMS: sobre as permissões da coleção
6 min de leitura
No CMS (sistema de gerenciamento de conteúdo), você pode alterar as permissões da sua coleção para controlar quem pode visualizar, adicionar, atualizar ou excluir o conteúdo da coleção no seu site online. A maneira mais comum de os visitantes modificarem o conteúdo da coleção do site online é com elementos de entrada definidos para coletar conteúdo.
As permissões da coleção ajudam você a gerenciar o acesso do site online ao conteúdo da sua coleção e manter a segurança dos dados do seu site. Por exemplo, se você gerencia uma comunidade online, talvez você queira permitir que apenas membros registrados visualizem e contribuam em determinadas coleções, garantindo que as informações confidenciais permaneçam dentro da sua base de usuários confiáveis.
Usuários do Velo by Wix:
A API do Wix Data permite que você acesse suas coleções diretamente usando código, oferecendo mais recursos do que as permissões de coleção predefinidas e personalizadas.
Gerencie o acesso do site online para o conteúdo da coleção
As permissões de coleção determinam quem pode acessar o conteúdo da coleção do CMS a partir do seu site online e o que essas pessoas podem fazer com o conteúdo (por exemplo: visualizar, adicionar itens, atualizar conteúdo existente, excluir conteúdo). Normalmente, isso é feito com elementos de entrada, mas também pode ser feito com a API de dados. Os colaboradores são sempre considerados "administradores" nas permissões da coleção que controlam o que as pessoas podem fazer no site online.
Sobre proprietários de sites e colaboradores:
Os proprietários e colaboradores do site são sempre tratados como administradores quando estão conectados ao site online. Isso significa que eles podem visualizar, adicionar, atualizar e excluir o conteúdo da coleção no site online. Essa regra se aplica independentemente de qual permissão de coleção você selecione.
Use a permissão "Mostrar conteúdo" para acesso do tipo somente visualização
A permissão "Mostrar conteúdo" permite que o conteúdo da sua coleção seja visualizado no site online pelos visitantes do site. Essa configuração é útil quando você deseja tornar determinadas informações acessíveis publicamente sem permitir nenhuma modificação. Você pode optar por tornar o conteúdo visível para todos ou restringir apenas para membros do site. Isso garante que o conteúdo sensível permaneça protegido e ainda possa ser acessado por quem precisa dele.
É importante notar que, dependendo das permissões aplicadas, o conteúdo da coleção ainda pode ser acessado se não aparecer no seu site online. Por exemplo, se "Todos" for selecionado em "Quem pode ver esse conteúdo", qualquer pessoa pode usar a API de dados para visualizar o conteúdo da coleção.
Use a permissão "Coletar conteúdo" para permitir a adição de novos itens
A permissão "Coletar conteúdo" permite que os visitantes adicionem novos itens à sua coleção por meio de elementos de entrada ou de API. Isso é particularmente útil para sites que coletam conteúdo gerado pelos usuários, como avaliações, comentários ou posts. No entanto, essa permissão não permite que os visitantes atualizem itens existentes ou seus valores de campo. Use permissões personalizadas se precisar permitir que itens existentes ou seus valores de campo sejam atualizados no site online.
Você pode decidir se qualquer visitante do site ou apenas membros do site podem adicionar novo conteúdo à coleção. Além disso, você pode controlar quem pode visualizar o conteúdo adicionado, garantindo que ele atenda aos padrões de privacidade e segurança do seu site.
As configurações do conjunto de dados afetam as ações que podem ser executadas na página, mas apenas as permissões da coleção podem realmente limitar as operações que podem ser executadas com dados por várias funções. Saiba mais sobre como definir configurações do conjunto de dados.
Defina permissões "Personalizadas" para ter mais controle de acesso
Para ter mais controle sobre quem pode visualizar, adicionar, atualizar ou excluir conteúdo, defina permissões "Personalizadas". Isso permite que você adapte o acesso com base em diferentes funções, como administradores do site, criadores de itens, membros e visitantes do site em geral. Por exemplo, você pode permitir que apenas os administradores excluam conteúdo e, ao mesmo tempo, permitir que os criadores de itens atualizem seus próprios envios. Essa flexibilidade garante que você possa gerenciar o conteúdo da sua coleção de uma forma que se alinha às necessidades específicas e requisitos de segurança do seu site.
Ao usar configurações personalizadas, certifique-se de que as permissões atribuídas correspondem à lógica de negócios e à classificação de confidencialidade dos dados na coleção. Por exemplo, coleções com informações sobre clientes ou clientes potenciais devem ser tratadas de forma diferente das coleções sobre produtos.
Observação:
As permissões de acesso aos dados não mudam com a criptografia PII (Informações de identificação pessoal). Permissões apropriadas devem ser definidas para manter a confidencialidade dos dados. Saiba mais sobre PII e segurança de dados.
Modifique as permissões para todas as suas coleções
Entender e gerenciar as permissões para todas as suas coleções é crucial para manter a integração e a segurança do seu site. Cada coleção pode ter seu próprio conjunto de permissões, permitindo que você personalize o acesso com base no tipo de conteúdo e no público. Ao revisar e ajustar regularmente essas permissões, você garante que os dados do seu site permaneçam seguros e que os usuários tenham o nível de acesso apropriado.
As funções que você vê na tabela de permissões personalizadas são atribuídas aos visitantes do site online com base em sua atividade e status no site. As funções do CMS que você atribui aos colaboradores não importam nas permissões da coleção, pois todos os colaboradores são considerados administradores em relação às permissões de coleção no site online.
No entanto, com o Velo, você pode implementar uma função personalizada em uma coleção usando código para fazer uma chamada de dados do back-end com a opção suppressAuth. A chamada de dados deve ser feita depois que a função personalizada de membros for validada com a funcionalidade da API wix-users no código.
O administrador sempre mantém as permissões para todas as ações. Ao visualizar seu site, você o faz na função de administrador. Para interagir como outro tipo de usuário, primeiro publique seu site, navegue para o seu site online e faça login como um usuário diferente (membro do site) ou não faça login (qualquer pessoa). Lembre-se de que se coleções Sandbox estiverem ativadas no seu site, seu site online funciona com as coleções Live e não com as coleções Sandbox.
Velo by Wix: supressão de autorização
Ao interagir com suas coleções usando a API de dados, você pode optar por ignorar o modelo de permissões em certos casos. O argumento opcional WixDataOptions pode ser enviado para a chamada de função da API com a propriedade suppressAuth definida como true. Isso fará com que a função seja executada sem verificar se o usuário atual tem as permissões corretas. Você só pode ignorar permissões ao fazer chamadas de API do código de back-end. As chamadas de API do lado do cliente sempre executam verificações de permissão, independentemente das opções passadas.
Por exemplo, uma coleção pode conter comentários, assim como o endereço de email do criador do comentário. Os visitantes devem poder visualizar os comentários, no entanto, apenas o administrador deve poder visualizar os endereços de email. A exclusão da autorização pode permitir que os visitantes visualizem os comentários sem conceder aos visitantes a permissão para "ler" a coleção de comentários.
Isso pode ser feito escrevendo um módulo da web em um arquivo .jsw no back-end que irá chamar a coleção de comentários com a propriedade suppressAuth definida como true e, em seguida, filtrar a resposta e retornar apenas os campos desejados (comentários) ao cliente para o visitante para visualizar, sem os outros campos da coleção, especificamente sem os emails.
1import wixData from 'wix-data';
2// ...
3let options = {
4 "suppressAuth": true
5};
6wixData.query("myCollection")
7 .find(options)
8 .then( (results) => {
9 if(results.items.length > 0) {
10 let items = results.items;
11 let firstItem = items[0];
12 } else {
13 // handle case where no matching items found
14 }
15 } )
16 .catch( (error) => {
17 let errorMsg = error.message;
18 let code = error.code;
19 } );Outro exemplo para o uso de suppressAuth é o caso em que você deseja permitir que uma função personalizada (um membro específico do site ou um grupo específico de membros do site) acesse uma coleção que está definida com permissões de administrador. Nesse caso, o módulo web deve verificar a identidade ou a função do membro do site antes de chamar os dados.
Observações:
- As permissões da coleção afetam quais dados são carregados por conjuntos de dados que se conectam à coleção. Saiba mais sobre modos do conjunto de dados que determinam se o conjunto de dados pode ler, gravar ou ler e gravar dados da coleção.
- As configurações do conjunto de dados podem ser usadas para refinar quais operações de dados podem ser executadas pelos elementos conectados a esse conjunto de dados específico. Os dados estão sempre acessíveis na medida em que são especificados pelas permissões da coleção usando a API de dados.
- Algumas funções dependem de você ter uma área de membros no seu site. Se você usa o Velo by Wix, você também pode adicionar a funcionalidade de plano de membros com a API wix-members-backend.
Esse artigo foi útil?
|