Magento 1.7.0.2ストアにSUPEE-6285パッチをインストールした後、選択的な権限(すべての権限ではない)を持つユーザーのすべてのカスタムモジュールにアクセスしようとすると、システムが「アクセス拒否」エラーを表示します。下のスクリーンショット。
ユーザーのアクセス許可はロールリソースで適切に設定されており、これらの設定が確実に行われるようにアクセス許可設定を再適用しました。
この問題は複数のカスタム拡張機能で再現されているため、機能していないのは単一の拡張機能ではありません。
ログアウト/ログインし、キャッシュをクリアして、コンパイラーが無効になっていることを確認しました。
誰でもこれをトラブルシューティングする方法を提案できますか?
回答:
ここに書かれているように:
制限された管理者アカウントを使用している場合、サードパーティの拡張機能の一部のメニューがそれらに対して機能しなくなる可能性があります。のデフォルトの戻り値Mage_Adminhtml_Controller_Action::_isAllowed()がからに変更されたtrueためMage::getSingleton('admin/session')->isAllowed('admin')です。管理コントローラーでこのメソッドをオーバーライドしない拡張機能は、ACLを使用しないため、「ALL」特権が必要になりました。
唯一の解決策は、拡張機能にパッチを適用し、このメソッドをすべての管理コントローラーに追加することです。
protected function _isAllowed()
{
return true;
}または、実際にACLリソースが定義されている場合etc/adminhtml.xml:
protected function _isAllowed()
{
return Mage::getSingleton('admin/session')->isAllowed('ENTER RESOURCE IDENTIFIER HERE');
}これはどのadminhtml.xmlように見えるかです:
acl/resources/admin/children次のchildrenノードをスキップして、以下のノード名を取得します。
<menu>定義のみがあり定義がない<acl>場合は、独自に定義することもできます(同じモジュール内にある必要はないため、サードパーティのファイルを変更する必要はありません)。
以下menuをすべてコピーしてacl/resources/admin/children、<action>ノードを削除します。
https://gist.github.com/raybogman/eec47237b8ef0d4dd0fdに SupportDesk.nuによる優れたコマンドラインツールがあります。
ほとんどの欠落した_isAllowed()呼び出しを非常にうまく処理しますが、難読化または暗号化されたソースファイルでコードが破損するため、結果を手動で確認する必要があります。
admin実際には、すべての特権を持つユーザーに対してのみtrueを返します。
return true;でACLに何も定義されていない場合は、単にしないでください。代わりに、xmlファイルにアクセス許可を追加し、適切に確認します。見てくださいアラン・ストームのサイトやこちらの権限を作成する上での情報のため。config.xmladminhtml.xml
<use>admin</use>。それらは通常拡張しMage_Adminhtml_Controller_Actionます。
そのはず:
protected function _isAllowed()
{
return Mage::getSingleton('admin/session')->isAllowed('system/config');
}その場合、MagentoからACL設定を返します。Magento Core Teamが別のパッチで修正するのか、それともapp / code / localでグローバルな修正として修正するのか...
app/code/localますが、ユーザーがアクセス権を持っている場合にのみACLなしでカスタム拡張機能を表示することはSystem > Configuration誰もが望むものではありません。