Bug #13914
sécurisation de la configuration par défaut de django-rest-framework
0%
Description
Actuellement hobo ajoute l'autorisation par signature pour DRF à des autorisations par défaut (basic et session).
Il serait plus prudent de n'autoriser que les URL signées. Exemple de soucis : les API chrono ouvertes à un user connecté sur chrono, alors qu'on devrait imposer l'accès par signature.
Et, dans la foulée, de fermer par défaut toutes les vues DRF en imposant la permission IsAuthenticated.
Fichiers
Révisions associées
Historique
Mis à jour par Thomas Noël il y a plus de 7 ans
- Fichier 0001-secure-Django-Rest-Framework-auth-in-django_config_c.patch 0001-secure-Django-Rest-Framework-auth-in-django_config_c.patch ajouté
- Statut changé de Nouveau à En cours
- Patch proposed changé de Non à Oui
Mis à jour par Serghei Mihai il y a plus de 7 ans
Chrono, corbo exigent déjà la permission rest_framework.permissions.IsAuthenticated
, si je ne me trompe pas.
Mis à jour par Thomas Noël il y a plus de 7 ans
Serghei Mihai a écrit :
Chrono, corbo exigent déjà la permission
rest_framework.permissions.IsAuthenticated
, si je ne me trompe pas.
L'idée est ici qu'on utilise DRF pour faire des API Publik, et que celles-ci doivent être toutes protégées par signature : on le précise et on le force donc dans hobo, qui est la glue qui fait de nos logiciels un ensemble nommé "Publik".
Mais dans le code des logiciels qui utilisent DRF, dans chrono, corbo, combo… on peut tout à fait imposer/préciser d'autres permission/authentification. Et c'est même important.
Mis à jour par Frédéric Péters il y a plus de 7 ans
- Statut changé de En cours à Résolu (à déployer)
Poussé; à rapidement tagguer pour que ça soit bien vérifié sur la recette.
commit 17c0f375b5e8e3386baeb241d5138dcce1fa5434 Author: Thomas NOEL <tnoel@entrouvert.com> Date: Wed Nov 9 11:54:48 2016 +0100 secure Django Rest Framework auth in django_config_common (#13914)
Mis à jour par Frédéric Péters il y a plus de 5 ans
- Statut changé de Résolu (à déployer) à Solution déployée
secure Django Rest Framework auth in django_config_common (#13914)