Produits Entr'ouvert » Chrono

Petite discussion au détour d'une PR, https://git.entrouvert.org/entrouvert/chrono/pulls/584#issuecomment-84715

Fred :

Certes c'est partout comme ça mais c'est curieux d'avoir "APIReadOnly" dans quelque chose qui va faire une modification.

Yann :

Tu devrais pouvoir déclarer une permission plus adapté à cette vue dans chrono/utils/permissions.py avec

APIAdminOrAuthUser = (
((~IsAPIClient) & permission.IsAuthenticated) | (IsAPIClient & IsAdminUser)
)

Le IsAPIClient & ReadOnly donne le droit à un client d'API de faire des requête HEAD, GET et OPTIONS et ce n'est à priori pas utile ici.

Comme beaucoup de vues sont concernées, c'est utile de traiter ça de manière globale.