* バグの説明
コレクションAのフィールドXを表示する権限がない場合でも、コレクションBの関連コレクションとしてコレクションAのフィールドXを表示できてしまいます。
NocoBaseデモ環境を利用して具体的な説明をさせていただきます。
下記画像の通り「Child」コレクションと「Parent」コレクションを定義しました。
そして「public_only」ロールを定義し、下記の通りChild.private_fieldの表示権限を剥奪しました。
UIには、「Child」コレクションのテーブルブロックと「Parent」コレクションのテーブルブロックを配置しました。(「root」ロールでの画面表示)
「public_only」ロールに切り替えた際、「Child」コレクションのテーブルブロックでは想定通りChild.private_fieldが非表示となっていますが、「Parent」コレクションのテーブルブロックではChild.private_fieldが表示されてしまっています。
* 環境
- NocoBase のバージョン:
- v2.0.0-alpha.47.20251127164003
- v1.8.26
* 再現方法
- ロールを「public_only」に変更します。
- 「Parent」コレクションのテーブルブロックに
Child.private_fieldが表示されていること確認します。
想定される動作
「Parent」コレクションのテーブルブロックにChild.private_fieldが表示されない。