Development #71463
api/rbac : au lieu d’une vérification booléenne sur une permission globale, filtrer automatiquement les querysets en fonction des permissions équivalentes par OU détenues par l’appelant
0%
Description
Un exemple tout simple : si on crée un client d’API et qu’on lui attribue le rôle d’administration des usagers d’une OU lambda, on s’attend à ce qu’une entité ayant recours à ce client puisse taper un /api/users/synchronization/ et se voie renvoyer la liste usagers de cette OU. Actuellement, ce n’est pas le cas, l’API renvoie une 403 car le client ne détient pas la permission globale 'custom_user.search_user'.
Fichiers
Demandes liées
Historique
Mis à jour par Paul Marillonnet il y a plus d'un an
- Lié à Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’API ajouté
Mis à jour par Paul Marillonnet il y a plus d'un an
- Description mis à jour (diff)
(Je mets à la description, je m’étais mélangé les pinceaux et citais précisément l’endpoint où ce ticket ne s’applique pas.)
Mis à jour par Paul Marillonnet il y a plus d'un an
- Lié à Development #71506: api/rbac : faire que l’endpoint de synchronisation s’adapte aux permissions par OU de l’appelant ajouté
Mis à jour par Paul Marillonnet il y a plus d'un an
- Fichier 0001-api-filter-synchronization-queryset-by-ou-permission.patch 0001-api-filter-synchronization-queryset-by-ou-permission.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Voilà, un premier bout du travail pour en finir avec les permissions globales dans l’API.
Mis à jour par Paul Marillonnet il y a plus d'un an
- Statut changé de Solution proposée à Nouveau
Fatigue, j’avais oublié que j’avais créé #71506 pour cet endpoint en particulier. C’est la version rebasée de ce patch qui apparaît ici, je vais la proposer dans le bon ticket :)