Projet

Général

Profil

Development #69989

Section "Changement de mot de passe" - NOK (point 26)

Ajouté par Brice Mallet il y a plus d'un an. Mis à jour il y a plus d'un an.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Version cible:
-
Début:
07 octobre 2022
Echéance:
% réalisé:

0%

Temps estimé:
Hors marché:
Non
Patch proposed:
Oui
Planning:
Non

Description

Un 26ème point ajouté, le 29/09, par la DINUM à la 2ème passe de la recette "Nouvelle certification".

26. Section "Changement de mot de passe" - NOK
https://connexion-angouleme.test.entrouvert.org/accounts/password/change/
Je rajoute ce point, car je pensais que cette section ne s'affichait pas en cas de connexion via FranceConnect, mais en fait si (voir screen ci-dessous).
Il faut donc indiquer qu'il s'agit du mot de passe du compte local, qu’il n’y a pas de lien avec FranceConnect. 
Merci donc d'ajouter la phrase suivante sous le titre : « Attention, ce mot de passe est celui de votre compte local et en aucun cas celui du compte que vous utilisez au travers de FranceConnect. Il vous servira uniquement lorsque vous vous connecterez avec votre adresse mail plutôt que via FranceConnect. »
Déroulé :
  1. "s'identifier FC" avec test/123 sur https://connexion-angouleme.test.entrouvert.org/login/
  2. dans https://connexion-angouleme.test.entrouvert.org/accounts/ "Gestion du compte" : 3 lignes et "Modifier le mot de passe" n'apparaît pas : OK
  3. "Supprimer la liaison", choisir un mot de passe local, "Délier"
  4. retour sur https://connexion-angouleme.test.entrouvert.org/accounts/ "Gestion du compte" : 4 lignes dont "Modifier le mot de passe" : OK
  5. "Lier votre compte utilisateur à FranceConnect." avec clic sur bouton FC, s'identifier dans FC avec test/123
  6. retour sur https://connexion-angouleme.test.entrouvert.org/accounts/ "Gestion du compte" : 4 lignes dont "Modifier le mot de passe"
    => et là DINUM considère que problème et qu'il faudrait donc ajouter : " Attention, ce mot de passe est celui de votre compte local et en aucun cas celui du compte que vous utilisez au travers de FranceConnect. Il vous servira uniquement lorsque vous vous connecterez avec votre adresse mail plutôt que via FranceConnect. "

Fichiers

0001-auth_fc-store-id_token-in-session-when-linking-69989.patch (1,28 ko) 0001-auth_fc-store-id_token-in-session-when-linking-69989.patch Benjamin Dauvergne, 22 novembre 2022 15:35
0002-auth_fc-show-warning-on-password-change-page-if-user.patch (2,47 ko) 0002-auth_fc-show-warning-on-password-change-page-if-user.patch Benjamin Dauvergne, 22 novembre 2022 15:35
0001-auth_fc-store-id_token-in-session-when-linking-69989.patch (1,28 ko) 0001-auth_fc-store-id_token-in-session-when-linking-69989.patch Benjamin Dauvergne, 22 novembre 2022 15:37
0003-translation-update-69989.patch (1,77 ko) 0003-translation-update-69989.patch Benjamin Dauvergne, 22 novembre 2022 15:37
0002-auth_fc-show-warning-on-password-change-page-if-user.patch (2,47 ko) 0002-auth_fc-show-warning-on-password-change-page-if-user.patch Benjamin Dauvergne, 22 novembre 2022 15:37
0001-auth_fc-store-id_token-in-session-when-linking-69989.patch (1,28 ko) 0001-auth_fc-store-id_token-in-session-when-linking-69989.patch Benjamin Dauvergne, 22 novembre 2022 21:20
0003-translation-update-69989.patch (1,77 ko) 0003-translation-update-69989.patch Benjamin Dauvergne, 22 novembre 2022 21:20
0002-auth_fc-show-warning-on-password-change-page-if-user.patch (1,94 ko) 0002-auth_fc-show-warning-on-password-change-page-if-user.patch Benjamin Dauvergne, 22 novembre 2022 21:20
0001-auth_fc-store-id_token-in-session-when-linking-69989.patch (1,28 ko) 0001-auth_fc-store-id_token-in-session-when-linking-69989.patch Benjamin Dauvergne, 23 novembre 2022 10:48
0003-translation-update-69989.patch (1,75 ko) 0003-translation-update-69989.patch Benjamin Dauvergne, 23 novembre 2022 10:48
0002-auth_fc-show-warning-on-password-change-page-if-user.patch (1,92 ko) 0002-auth_fc-show-warning-on-password-change-page-if-user.patch Benjamin Dauvergne, 23 novembre 2022 10:48
0001-auth_fc-store-id_token-in-session-when-linking-69989.patch (1,28 ko) 0001-auth_fc-store-id_token-in-session-when-linking-69989.patch Benjamin Dauvergne, 23 novembre 2022 11:56
0003-translation-update-69989.patch (1,75 ko) 0003-translation-update-69989.patch Benjamin Dauvergne, 23 novembre 2022 11:56
0002-auth_fc-show-warning-on-password-change-page-if-user.patch (3,45 ko) 0002-auth_fc-show-warning-on-password-change-page-if-user.patch Benjamin Dauvergne, 23 novembre 2022 11:56

Demandes liées

Lié à Plugin FS FranceConnect - Development #68360: Cinématique de Réconciliation de compte - NOKFermé23 août 2022

Actions
Lié à Plugin FS FranceConnect - Project management #68358: Demandes d'évolution pour la nouvelle certification FranceConnectEn cours23 août 2022

Actions

Révisions associées

Révision 89b52606 (diff)
Ajouté par Benjamin Dauvergne il y a plus d'un an

auth_fc: store id_token in session when linking (#69989)

Password change view is hidden only if the current session was opened
with FranceConnect and if the id_token is visible in the session, this
change will enforce the second condition when during the same session
the account is unlinked and linked again to FranceConnect.

It will also permit to launch a logout if the link fails.

Révision 9171c30f (diff)
Ajouté par Benjamin Dauvergne il y a plus d'un an

auth_fc: show warning on password change page if user is linked to FranceConnect (#69989)

Révision a8ebccc5 (diff)
Ajouté par Benjamin Dauvergne il y a plus d'un an

translation update (#69989)

Historique

#2

Mis à jour par Brice Mallet il y a plus d'un an

#3

Mis à jour par Brice Mallet il y a plus d'un an

#6

Mis à jour par Benjamin Dauvergne il y a plus d'un an

  • Assigné à mis à Benjamin Dauvergne
#7

Mis à jour par Benjamin Dauvergne il y a plus d'un an

Ceinture et bretelle :
  • la vue de mot de passe ne sera plus visible dans le cas particulier où on s'est connecté avec FranceConnect, puis délier, puis relier.
  • si jamais le compte courant est relié à FranceConnect mais que la vue de changement de mot de passe est visible (ex.: on s'est connecté via son email/mot de passe et pas par FranceConnect) alors on affiche un disclaimer.
#9

Mis à jour par Serghei Mihai il y a plus d'un an

    def get(self, request, *args, **kwargs):
        return super().get(request, *args, **kwargs)

n'est pas inutile ?

#11

Mis à jour par Paul Marillonnet il y a plus d'un an

Dans 0001 peut-être moyen de factoriser du code avec ce qui est fait dans le cas où il y a login et non pas liaison dans le code à la fin handle_authorization_response

        if request.user.is_authenticated:
            return self.link(request)
        else:
            return self.login(request)
?
Par exemple dans le cas login je vois qu’en plus il y a paramétrage de l’expiration de la session, après stockage de l’ID token :
        # set session expiration policy to EXPIRE_AT_BROWSER_CLOSE
        request.session.set_expiry(0)
(dans finish_login) qui n’est pas repris dans 0001 ?

0002 ok, peut-être juste
· s/not the one from the account used through FranceConnect/not the one from your FranceConnect provider/
· s/connect with locally/log in locally/
dans le message affiché à l’usager ?

#12

Mis à jour par Benjamin Dauvergne il y a plus d'un an

Paul Marillonnet a écrit :

Dans 0001 peut-être moyen de factoriser du code avec ce qui est fait dans le cas où il y a login et non pas liaison dans le code à la fin handle_authorization_response
[...] ?
Par exemple dans le cas login je vois qu’en plus il y a paramétrage de l’expiration de la session, après stockage de l’ID token :
[...] (dans finish_login) qui n’est pas repris dans 0001 ?

Ça ne concerne qu'une session ouverte par FranceConnect, la session ayant pu être ouverte via mot de passe, je préfère ne pas changer (#40479).

0002 ok, peut-être juste
· s/not the one from the account used through FranceConnect/not the one from your FranceConnect provider/
· s/connect with locally/log in locally/
dans le message affiché à l’usager ?

Ok.

#14

Mis à jour par Paul Marillonnet il y a plus d'un an

  • Statut changé de Solution proposée à Solution validée

Benjamin Dauvergne a écrit :

Ça ne concerne qu'une session ouverte par FranceConnect, la session ayant pu être ouverte via mot de passe, je préfère ne pas changer (#40479).

Ok.

Ok.

Ok, peut-être juste un s/mail/courriel/ dans le message traduit dans 0003 puisque cela semble être la convention dans authentic.

Ack.

#16

Mis à jour par Paul Marillonnet il y a plus d'un an

  • Statut changé de Solution proposée à Solution validée

Benjamin Dauvergne a écrit :

Oublié de pousser le test.

Magnifique. Reste juste pylint à contenter :

tests/auth_fc/test_views.py:25: [C1802(use-implicit-booleaness-not-len), test_password_change_view_with_fc] Do not use `len(SEQUENCE)` without comparison to determine if a sequence is empty

et c’est bon.

#17

Mis à jour par Benjamin Dauvergne il y a plus d'un an

  • Statut changé de Solution validée à Résolu (à déployer)
commit a8ebccc5aa8ec83f9db0e0edee8b309be40def28
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date:   Tue Nov 22 15:37:37 2022 +0100

    translation update (#69989)

commit 9171c30febcb58c6af4a2514ebfbcda64d8b33db
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date:   Tue Nov 22 15:34:26 2022 +0100

    auth_fc: show warning on password change page if user is linked to FranceConnect (#69989)

commit 89b526066d6373e741c4843c6c93632febc8d2cb
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date:   Tue Nov 22 15:08:07 2022 +0100

    auth_fc: store id_token in session when linking (#69989)

    Password change view is hidden only if the current session was opened
    with FranceConnect and if the id_token is visible in the session, this
    change will enforce the second condition when during the same session
    the account is unlinked and linked again to FranceConnect.

    It will also permit to launch a logout if the link fails.
#18

Mis à jour par Transition automatique il y a plus d'un an

  • Statut changé de Résolu (à déployer) à Solution déployée
#19

Mis à jour par Transition automatique il y a environ un an

Automatic expiration

Formats disponibles : Atom PDF