Development #11426
signature automatique des requêtes
0%
Description
Dans l'intégration avec fargo (wcs/file_validation.py) et avec authentic (wcs/wf/profile.py, wcs/wf/roles.py), on extrait automatiquement la clé secrète du site-options.cfg; je me dis qu'on pourrait faire ça aussi pour les appels webservices définis par l'usager. (ça aurait l'avantage de ne plus faire apparaitre de clé secrète dans le paramétrage, d'éviter qu'à partager un workflow dans bistro on se trouve à partager aussi la clé…).
Fichiers
Révisions associées
Historique
Mis à jour par Frédéric Péters il y a presque 8 ans
- Fichier 0002-general-add-autodiscovery-of-webservice-signature-ke.patch 0002-general-add-autodiscovery-of-webservice-signature-ke.patch ajouté
- Statut changé de Nouveau à En cours
Ça vient après #11376.
Mis à jour par Thomas Noël il y a presque 8 ans
Ce qui m'ennuie ici : ça ouvre la possibilité de taper dans les API en tant que "root" sur tous les services Publik, à n'importe quel personne qui accède à l'atelier de workflows.
Mis à jour par Frédéric Péters il y a presque 8 ans
Et je préfère ça à la situation présente où on permet de copier/coller orig et clé secrète vers un script curl local. Au moins ça donne l'assurance que le message est bien émis par w.c.s.
Mis à jour par Thomas Noël il y a presque 8 ans
C'est bien vrai, et je me range, facilement, à cet avis. Et donc, ack.
Il faudra voir l'impact sur les instances existantes (regarder les wscall) lors du passage en recette/prod de cette modification.
Mis à jour par Frédéric Péters il y a presque 8 ans
- Statut changé de En cours à Résolu (à déployer)
Genre l'impact d'un appel qui aujourd'hui se faisait explicitement sans clé et qui là se fera avec ? On a ça ?
commit 12cb4d0b9d6d492df0cfa9640802569ccf514a59 Author: Frédéric Péters <fpeters@entrouvert.com> Date: Tue Jun 21 08:18:49 2016 +0200 general: add autodiscovery of webservice signature key (#11426)
Mis à jour par Thomas Noël il y a presque 8 ans
Frédéric Péters a écrit :
Genre l'impact d'un appel qui aujourd'hui se faisait explicitement sans clé et qui là se fera avec ? On a ça ?
Oui, avec des apikey qui permettent d'accéder à des référentiels non sensibles. Mais c'est un peu idiot, parce que trois lignes plus loin dans le workflow (dans un push de la famille), on signe... Et qui peut le plus peu le moins, donc ça ira et ça va beaucoup simplifier. Sans parler du passage par wscalls qui va clarifier.
general: add autodiscovery of webservice signature key (#11426)