Projet

Général

Profil

Development #11426

signature automatique des requêtes

Ajouté par Frédéric Péters il y a presque 8 ans. Mis à jour il y a plus de 7 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
-
Version cible:
v1.47
Début:
20 juin 2016
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:

Description

Dans l'intégration avec fargo (wcs/file_validation.py) et avec authentic (wcs/wf/profile.py, wcs/wf/roles.py), on extrait automatiquement la clé secrète du site-options.cfg; je me dis qu'on pourrait faire ça aussi pour les appels webservices définis par l'usager. (ça aurait l'avantage de ne plus faire apparaitre de clé secrète dans le paramétrage, d'éviter qu'à partager un workflow dans bistro on se trouve à partager aussi la clé…).

Fichiers

0002-general-add-autodiscovery-of-webservice-signature-ke.patch (2,64 ko) 0002-general-add-autodiscovery-of-webservice-signature-ke.patch Frédéric Péters, 21 juin 2016 08:25

Révisions associées

Révision 12cb4d0b (diff)
Ajouté par Frédéric Péters il y a presque 8 ans

general: add autodiscovery of webservice signature key (#11426)

Historique

#2

Mis à jour par Thomas Noël il y a presque 8 ans

Ce qui m'ennuie ici : ça ouvre la possibilité de taper dans les API en tant que "root" sur tous les services Publik, à n'importe quel personne qui accède à l'atelier de workflows.

#3

Mis à jour par Frédéric Péters il y a presque 8 ans

Et je préfère ça à la situation présente où on permet de copier/coller orig et clé secrète vers un script curl local. Au moins ça donne l'assurance que le message est bien émis par w.c.s.

#4

Mis à jour par Thomas Noël il y a presque 8 ans

C'est bien vrai, et je me range, facilement, à cet avis. Et donc, ack.

Il faudra voir l'impact sur les instances existantes (regarder les wscall) lors du passage en recette/prod de cette modification.

#5

Mis à jour par Thomas Noël il y a presque 8 ans

  • Patch proposed changé de Non à Oui
#6

Mis à jour par Frédéric Péters il y a presque 8 ans

  • Statut changé de En cours à Résolu (à déployer)

Genre l'impact d'un appel qui aujourd'hui se faisait explicitement sans clé et qui là se fera avec ? On a ça ?

commit 12cb4d0b9d6d492df0cfa9640802569ccf514a59
Author: Frédéric Péters <fpeters@entrouvert.com>
Date:   Tue Jun 21 08:18:49 2016 +0200

    general: add autodiscovery of webservice signature key (#11426)
#7

Mis à jour par Thomas Noël il y a presque 8 ans

Frédéric Péters a écrit :

Genre l'impact d'un appel qui aujourd'hui se faisait explicitement sans clé et qui là se fera avec ? On a ça ?

Oui, avec des apikey qui permettent d'accéder à des référentiels non sensibles. Mais c'est un peu idiot, parce que trois lignes plus loin dans le workflow (dans un push de la famille), on signe... Et qui peut le plus peu le moins, donc ça ira et ça va beaucoup simplifier. Sans parler du passage par wscalls qui va clarifier.

#8

Mis à jour par Frédéric Péters il y a presque 8 ans

  • Version cible mis à v1.47
#9

Mis à jour par Frédéric Péters il y a plus de 7 ans

  • Statut changé de Résolu (à déployer) à Fermé

Formats disponibles : Atom PDF