用admin管理员身份登陆，然后在用户列表那把自己的管理员身份那一栏的勾去掉，会出现403错误，但是显示更新成功，注销以后重新登录，就不是管理员身份了。。。

管理员应该不可以把自己的管理员身份取消掉才对。

是啊，实际应用一般是没人这么做的。。。但是我试了一下，不应该出错了还对数据库进行操作。。。所以说是个bug

还记得Depot那个程序吗？里面就提到了将最后一个管理员删除的结果。所以应该raise一个异常，don't delete dave.

恩，我知道那个，可是这个情况和那个不一样，我以admin这个用户名登录，执行的是只有管理员才能执行的动作，现在自己取消自己的管理员权限，本来是不允许这么做的，所以就算你把管理员前面的勾去掉，数据库里面的admin值也不应该改变。。。我的意思就是程序出错了之后，不能更改数据库相应的值。。。

他这也报异常了，depot报了异常，但没有在数据库里把那个用户删掉吧。。。。可是redmine确报了异常之后，数据库里照样修改了值，不知道我说清楚没有。。。

就拿depot来比较，我的意思是说redmine没有depot那么安全。。。呵呵，你不要哪天觉得好玩把自己管理员的勾去掉呀

depot里设定的方法比较死。。。管理员想换名字还得去改代码才能保证安全。redmine只是不能自己登录了来删自己登录的这个帐号

引用:

原帖由 blackanger 于 2007-7-26 11:01 发表
就拿depot来比较，我的意思是说redmine没有depot那么安全。。。呵呵，你不要哪天觉得好玩把自己管理员的勾去掉呀

刚才正在考虑要不要取消自己的管理权限。哈哈。
Redmine才0.5版，以后会很好的。如果不行，我们自己也可以修改源代码。

redmine这种方法也保证不会出现没有管理员那种情况。。。。只是他出错了还会去操作数据库，这个就 接受不了了， 去看源码了。。。不知道我说清楚没有，呵呵

哈哈，那你小心了。。。是的，我们可以自己修改，我只是说出来让大家知道有这么个bug，呵呵