<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head><meta http-equiv="content-type" content="text/html; charset=utf-8" />
<title>[41226] trunk: REST API: Allow site administrators to edit user roles in multisite.</title>
</head>
<body>

<style type="text/css"><!--
#msg dl.meta { border: 1px #006 solid; background: #369; padding: 6px; color: #fff; }
#msg dl.meta dt { float: left; width: 6em; font-weight: bold; }
#msg dt:after { content:':';}
#msg dl, #msg dt, #msg ul, #msg li, #header, #footer, #logmsg { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt;  }
#msg dl a { font-weight: bold}
#msg dl a:link    { color:#fc3; }
#msg dl a:active  { color:#ff0; }
#msg dl a:visited { color:#cc6; }
h3 { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt; font-weight: bold; }
#msg pre { overflow: auto; background: #ffc; border: 1px #fa0 solid; padding: 6px; }
#logmsg { background: #ffc; border: 1px #fa0 solid; padding: 1em 1em 0 1em; }
#logmsg p, #logmsg pre, #logmsg blockquote { margin: 0 0 1em 0; }
#logmsg p, #logmsg li, #logmsg dt, #logmsg dd { line-height: 14pt; }
#logmsg h1, #logmsg h2, #logmsg h3, #logmsg h4, #logmsg h5, #logmsg h6 { margin: .5em 0; }
#logmsg h1:first-child, #logmsg h2:first-child, #logmsg h3:first-child, #logmsg h4:first-child, #logmsg h5:first-child, #logmsg h6:first-child { margin-top: 0; }
#logmsg ul, #logmsg ol { padding: 0; list-style-position: inside; margin: 0 0 0 1em; }
#logmsg ul { text-indent: -1em; padding-left: 1em; }#logmsg ol { text-indent: -1.5em; padding-left: 1.5em; }
#logmsg > ul, #logmsg > ol { margin: 0 0 1em 0; }
#logmsg pre { background: #eee; padding: 1em; }
#logmsg blockquote { border: 1px solid #fa0; border-left-width: 10px; padding: 1em 1em 0 1em; background: white;}
#logmsg dl { margin: 0; }
#logmsg dt { font-weight: bold; }
#logmsg dd { margin: 0; padding: 0 0 0.5em 0; }
#logmsg dd:before { content:'\00bb';}
#logmsg table { border-spacing: 0px; border-collapse: collapse; border-top: 4px solid #fa0; border-bottom: 1px solid #fa0; background: #fff; }
#logmsg table th { text-align: left; font-weight: normal; padding: 0.2em 0.5em; border-top: 1px dotted #fa0; }
#logmsg table td { text-align: right; border-top: 1px dotted #fa0; padding: 0.2em 0.5em; }
#logmsg table thead th { text-align: center; border-bottom: 1px solid #fa0; }
#logmsg table th.Corner { text-align: left; }
#logmsg hr { border: none 0; border-top: 2px dashed #fa0; height: 1px; }
#header, #footer { color: #fff; background: #636; border: 1px #300 solid; padding: 6px; }
#patch { width: 100%; }
#patch h4 {font-family: verdana,arial,helvetica,sans-serif;font-size:10pt;padding:8px;background:#369;color:#fff;margin:0;}
#patch .propset h4, #patch .binary h4 {margin:0;}
#patch pre {padding:0;line-height:1.2em;margin:0;}
#patch .diff {width:100%;background:#eee;padding: 0 0 10px 0;overflow:auto;}
#patch .propset .diff, #patch .binary .diff  {padding:10px 0;}
#patch span {display:block;padding:0 10px;}
#patch .modfile, #patch .addfile, #patch .delfile, #patch .propset, #patch .binary, #patch .copfile {border:1px solid #ccc;margin:10px 0;}
#patch ins {background:#dfd;text-decoration:none;display:block;padding:0 10px;}
#patch del {background:#fdd;text-decoration:none;display:block;padding:0 10px;}
#patch .lines, .info {color:#888;background:#fff;}
--></style>
<div id="msg">
<dl class="meta" style="font-size: 105%">
<dt style="float: left; width: 6em; font-weight: bold">Revision</dt> <dd><a style="font-weight: bold" href="https://core.trac.wordpress.org/changeset/41226">41226</a><script type="application/ld+json">{"@context":"http://schema.org","@type":"EmailMessage","description":"Review this Commit","action":{"@type":"ViewAction","url":"https://core.trac.wordpress.org/changeset/41226","name":"Review Commit"}}</script></dd>
<dt style="float: left; width: 6em; font-weight: bold">Author</dt> <dd>flixos90</dd>
<dt style="float: left; width: 6em; font-weight: bold">Date</dt> <dd>2017-08-03 21:58:50 +0000 (Thu, 03 Aug 2017)</dd>
</dl>

<pre style='padding-left: 1em; margin: 2em 0; border-left: 2px solid #ccc; line-height: 1.25; font-size: 105%; font-family: sans-serif'>REST API: Allow site administrators to edit user roles in multisite.

While site administrators cannot generally edit users in multisite, they have always been able to change the roles of users on their site. In the REST API however, this has not been possible so far. This changeset brings parity with how it is handled in the administration panel: A REST request to edit only a user's roles succeeds correctly, while a REST request to edit any further details of a user fails.

Props jnylen0.
Fixes <a href="https://core.trac.wordpress.org/ticket/40263">#40263</a>.</pre>

<h3>Modified Paths</h3>
<ul>
<li><a href="#trunksrcwpincludesrestapiendpointsclasswprestuserscontrollerphp">trunk/src/wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php</a></li>
<li><a href="#trunktestsphpunittestsrestapirestuserscontrollerphp">trunk/tests/phpunit/tests/rest-api/rest-users-controller.php</a></li>
</ul>

</div>
<div id="patch">
<h3>Diff</h3>
<a id="trunksrcwpincludesrestapiendpointsclasswprestuserscontrollerphp"></a>
<div class="modfile"><h4 style="background-color: #eee; color: inherit; margin: 1em 0; padding: 1.3em; font-size: 115%">Modified: trunk/src/wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php</h4>
<pre class="diff"><span>
<span class="info" style="display: block; padding: 0 10px; color: #888">--- trunk/src/wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php       2017-08-03 21:40:02 UTC (rev 41225)
+++ trunk/src/wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php 2017-08-03 21:58:50 UTC (rev 41226)
</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -561,14 +561,24 @@
</span><span class="cx" style="display: block; padding: 0 10px">                        return $user;
</span><span class="cx" style="display: block; padding: 0 10px">                }
</span><span class="cx" style="display: block; padding: 0 10px"> 
</span><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+                if ( ! empty( $request['roles'] ) ) {
+                       if ( ! current_user_can( 'promote_user', $user->ID ) ) {
+                               return new WP_Error( 'rest_cannot_edit_roles', __( 'Sorry, you are not allowed to edit roles of this user.' ), array( 'status' => rest_authorization_required_code() ) );
+                       }
+
+                       $request_params = array_keys( $request->get_params() );
+                       sort( $request_params );
+                       // If only 'id' and 'roles' are specified (we are only trying to
+                       // edit roles), then only the 'promote_user' cap is required.
+                       if ( $request_params === array( 'id', 'roles' ) ) {
+                               return true;
+                       }
+               }
+
</ins><span class="cx" style="display: block; padding: 0 10px">                 if ( ! current_user_can( 'edit_user', $user->ID ) ) {
</span><span class="cx" style="display: block; padding: 0 10px">                        return new WP_Error( 'rest_cannot_edit', __( 'Sorry, you are not allowed to edit this user.' ), array( 'status' => rest_authorization_required_code() ) );
</span><span class="cx" style="display: block; padding: 0 10px">                }
</span><span class="cx" style="display: block; padding: 0 10px"> 
</span><del style="background-color: #fdd; text-decoration:none; display:block; padding: 0 10px">-                if ( ! empty( $request['roles'] ) && ! current_user_can( 'edit_users' ) ) {
-                       return new WP_Error( 'rest_cannot_edit_roles', __( 'Sorry, you are not allowed to edit roles of this user.' ), array( 'status' => rest_authorization_required_code() ) );
-               }
-
</del><span class="cx" style="display: block; padding: 0 10px">                 return true;
</span><span class="cx" style="display: block; padding: 0 10px">        }
</span><span class="cx" style="display: block; padding: 0 10px"> 
</span></span></pre></div>
<a id="trunktestsphpunittestsrestapirestuserscontrollerphp"></a>
<div class="modfile"><h4 style="background-color: #eee; color: inherit; margin: 1em 0; padding: 1.3em; font-size: 115%">Modified: trunk/tests/phpunit/tests/rest-api/rest-users-controller.php</h4>
<pre class="diff"><span>
<span class="info" style="display: block; padding: 0 10px; color: #888">--- trunk/tests/phpunit/tests/rest-api/rest-users-controller.php      2017-08-03 21:40:02 UTC (rev 41225)
+++ trunk/tests/phpunit/tests/rest-api/rest-users-controller.php        2017-08-03 21:58:50 UTC (rev 41226)
</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -1593,6 +1593,68 @@
</span><span class="cx" style="display: block; padding: 0 10px">                $this->assertErrorResponse( 'rest_user_invalid_id', $response, 404 );
</span><span class="cx" style="display: block; padding: 0 10px">        }
</span><span class="cx" style="display: block; padding: 0 10px"> 
</span><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+        /**
+        * @ticket 40263
+        */
+       public function test_update_item_only_roles_as_editor() {
+               $user_id = $this->factory->user->create( array(
+                       'role' => 'author',
+               ) );
+
+               wp_set_current_user( self::$editor );
+               $request = new WP_REST_Request( 'PUT', sprintf( '/wp/v2/users/%d', $user_id ) );
+               $request->set_param( 'roles', array( 'editor' ) );
+               $response = $this->server->dispatch( $request );
+               $this->assertErrorResponse( 'rest_cannot_edit_roles', $response, 403 );
+       }
+
+       /**
+        * @ticket 40263
+        */
+       public function test_update_item_only_roles_as_site_administrator() {
+               $user_id = $this->factory->user->create( array(
+                       'role' => 'author',
+               ) );
+
+               wp_set_current_user( self::$user );
+               $request = new WP_REST_Request( 'PUT', sprintf( '/wp/v2/users/%d', $user_id ) );
+               $request->set_param( 'roles', array( 'editor' ) );
+               $response = $this->server->dispatch( $request );
+               $this->assertEquals( 200, $response->get_status() );
+
+               $new_data = $response->get_data();
+               $this->assertEquals( 'editor', $new_data['roles'][0] );
+       }
+
+       /**
+        * @ticket 40263
+        */
+       public function test_update_item_including_roles_and_other_params() {
+               $user_id = $this->factory->user->create( array(
+                       'role' => 'author',
+               ) );
+
+               wp_set_current_user( self::$user );
+               $request = new WP_REST_Request( 'PUT', sprintf( '/wp/v2/users/%d', $user_id ) );
+               $request->set_param( 'roles', array( 'editor' ) );
+               $request->set_param( 'name', 'Short-Lived User' );
+               $response = $this->server->dispatch( $request );
+
+               if ( is_multisite() ) {
+                       // Site administrators can promote users, as verified by the
+                       // previous test, but they cannot perform other user-editing
+                       // operations.  This also tests the branch of logic that verifies
+                       // that no parameters other than 'id' and 'roles' are specified for
+                       // a roles update.
+                       $this->assertErrorResponse( 'rest_cannot_edit', $response, 403 );
+               } else {
+                       $this->assertEquals( 200, $response->get_status() );
+
+                       $new_data = $response->get_data();
+                       $this->assertEquals( 'editor', $new_data['roles'][0] );
+               }
+       }
+
</ins><span class="cx" style="display: block; padding: 0 10px">         public function test_update_item_invalid_password() {
</span><span class="cx" style="display: block; padding: 0 10px">                $this->allow_user_to_manage_multisite();
</span><span class="cx" style="display: block; padding: 0 10px">                wp_set_current_user( self::$user );
</span></span></pre>
</div>
</div>

</body>
</html>