Project

General

Profile

Développement #33515

Multi-facteurs : mécanique django_rbac et utilisation dans le manager

Added by Valentin Deniaud over 5 years ago. Updated about 3 years ago.

Status:
Fermé
Priority:
Normal
Assignee:
-
Category:
-
Target version:
-
Start date:
28 May 2019
Due date:
% Done:

0%

Estimated time:
Patch proposed:
Yes
Planning:
No

Description

L'interface qu'on expose via django_rbac étant conditionnée par l'interface qu'on a envie de manipuler dans le manager, je mets les deux ensembles.

Notes informatives sur la partie rbac : on associe un niveau d'authentification à un rôle. Pour un utilisateur doté lui aussi d'un niveau d'authentification, on veut permettre de vérifier s'il a accès ou pas à certaines permissions en excluant celles données par des rôles dont le niveau est trop élevé.
Plus précisément, à la question « est-ce que l'utilisateur a ces permissions ? », on doit pouvoir répondre oui ou non comme avant, mais aussi « non, mais il pourrait les avoir avec un niveau supérieur ». Ou alors obliger à poser à chaque fois deux questions, mais ça ferait du code moche et ce n'est pas l'approche retenue ici.
Le niveau d'un utilisateur étant stocké dans sa session django (et pas dans un attribut de User facilement accessible), on permet aux méthodes de la famille User.has_perm de recevoir un nouveau kwarg auth_level, qui doit indiquer le niveau de l'utilisateur courant.
Si il n'est pas présent, tout marche comme d'habitude.
Si il est présent, on vérifie d'abord si l'utilisateur a les permissions en regardant celles données par les rôles de l'utilisateur ayant un niveau inférieur ou égal au sien. Si c'est bon, on retourne. Sinon, on vérifie à nouveau, sans filtrer les rôles. Si c'est pas bon, on retourne. Si en revanche, cette fois-ci ça passe, on lève une exception, qui informe que ça pourrait passer avec un niveau plus élevé.

Notes informatives sur la partie manager : le cas de base est très simple à gérer, on modifie légèrement le PermissionMixin. En revanche, il y a plein de cas particuliers qui font que c'est pas si joli au final. Notamment les formulaires qui s'ouvrent dans des popups : si une montée de niveau est déclenchée à ce moment là, la redirection vers la page de login va (mal) s'afficher dans la popup.

Plus d'infos dans les messages de commit :)


Files

0007-manager-use-could_-action-instead-of-can_-in-templat.patch (12.8 KB) 0007-manager-use-could_-action-instead-of-can_-in-templat.patch Valentin Deniaud, 28 May 2019 05:24 PM
0005-manager-differentiate-perm-granted-while-ignoring-au.patch (4 KB) 0005-manager-differentiate-perm-granted-while-ignoring-au.patch Valentin Deniaud, 28 May 2019 05:24 PM
0002-django_rbac-allow-filtering-user-roles-by-auth-level.patch (1.61 KB) 0002-django_rbac-allow-filtering-user-roles-by-auth-level.patch Valentin Deniaud, 28 May 2019 05:24 PM
0003-django_rbac-add-auth_level-arg-to-permission-methods.patch (7.29 KB) 0003-django_rbac-add-auth_level-arg-to-permission-methods.patch Valentin Deniaud, 28 May 2019 05:24 PM
0006-manager-handle-special-cases-of-access-control-33515.patch (3.32 KB) 0006-manager-handle-special-cases-of-access-control-33515.patch Valentin Deniaud, 28 May 2019 05:24 PM
0008-manager-disable-popup-display-on-insufficient-auth-l.patch (7.8 KB) 0008-manager-disable-popup-display-on-insufficient-auth-l.patch Valentin Deniaud, 28 May 2019 05:24 PM
0004-manager-check-authentication-level-in-PermissionMixi.patch (3.09 KB) 0004-manager-check-authentication-level-in-PermissionMixi.patch Valentin Deniaud, 28 May 2019 05:24 PM
0001-django_rbac-add-authentication-level-field-to-Role-m.patch (3.29 KB) 0001-django_rbac-add-authentication-level-field-to-Role-m.patch Valentin Deniaud, 05 June 2019 01:28 PM
0006-manager-handle-special-cases-of-access-control-33515.patch (5.46 KB) 0006-manager-handle-special-cases-of-access-control-33515.patch Valentin Deniaud, 12 June 2019 02:50 PM

History

#1

Updated by Valentin Deniaud over 5 years ago

  • Patch proposed changed from No to Yes
#3

Updated by Valentin Deniaud over 5 years ago

  • File deleted (0001-django_rbac-add-authentication-level-field-to-Role-m.patch)
#4

Updated by Valentin Deniaud over 5 years ago

Ni vu ni connu, un tuple qui se transforme en liste pour la compatibilité 1.8.

#5

Updated by Emmanuel Cazenave over 5 years ago

Benjamin dira mais notre mouvement global est à l'abandon de 1.8

#6

Updated by Valentin Deniaud over 5 years ago

Correction d'un petit bug, mais il faudra sûrement réfléchir à améliorer les quelques bizarreries dans la gestion des permissions au lieu de construire aveuglément par dessus (genre fixer #20513).
Aussi il reste un bug : les boutons de suppression dans les listes se comportent mal si ils déclenchent une montée de niveau. Il y a plein de manières d'y remédier, je laisse ça pour plus tard.

#7

Updated by Valentin Deniaud almost 5 years ago

  • Status changed from Solution proposée to Nouveau
  • Assignee deleted (Valentin Deniaud)
#8

Updated by Valentin Deniaud about 3 years ago

  • Status changed from Nouveau to Fermé

Also available in: Atom PDF