Actuellement, #FORMULAIRE_MOT_DE_PASSE permet de changer le pass d'un utilisateur :
- soit passé explicitement en paramètre
- soit par un jeton, venant par exemple d'un email
Peut-on ajouter un dernier cas, quand rien n'est trouvé : prendre l'utilisateur connecté si c'est le cas ?
Ce qui permettrait de mettre #FORMULAIRE_MOT_DE_PASSE sans aucun paramètre, donc y compris dans un contenu (un article par ex).
Actuellement, #FORMULAIRE_MOT_DE_PASSE permet de changer le pass d'un
utilisateur :
- soit passé explicitement en paramètre
- soit par un jeton, venant par exemple d'un email
Peut-on ajouter un dernier cas, quand rien n'est trouvé : prendre
l'utilisateur connecté si c'est le cas ?
Pourquoi pas, par contre cela pourrait peut-être poser problème sur un cas un peu tordu :
- un auteur A transmet le lien de changement de mot de passe à un auteur B
- le jeton n'est plus valide
- l'auteur B croit modifier le mot de passe de l'auteur A, mais en fait il modifie son propre mot de passe
Cas tordu j'en conviens, mais possible que ça se produise. Après on peut considérer que ce genre de lien ne se partage pas et basta
Par ailleurs les coms indiquent :
Dans les deux cas on verifie que l'auteur est autorise
Alors que le code, mise à part tester que c'est pas poubelle, il vérifie
aucune autorisation à ce que je vois.
Je confirme, d'après ce que je lis on passe par l'API editer objet, qui ne fais pas d'appel à autoriser pour le changement de mot de passe, cf :
