Développement #71463
openapi/rbac : au lieu d’une vérification booléenne sur une permission globale, filtrer automatiquement les querysets en fonction des permissions équivalentes par OU détenues par l’appelant
0%
Description
Un exemple tout simple : si on crée un client d’API et qu’on lui attribue le rôle d’administration des usagers d’une OU lambda, on s’attend à ce qu’une entité ayant recours à ce client puisse taper un /api/users/synchronization/ et se voie renvoyer la liste usagers de cette OU. Actuellement, ce n’est pas le cas, l’API renvoie une 403 car le client ne détient pas la permission globale 'custom_user.search_user'.
Files
Updated by Paul Marillonnet over 3 years ago
- Related to Développement #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’API added
Updated by Paul Marillonnet over 3 years ago
- Description updated (diff)
(Je mets à la description, je m’étais mélangé les pinceaux et citais précisément l’endpoint où ce ticket ne s’applique pas.)
Updated by Paul Marillonnet over 3 years ago
- Related to Développement #71506: api/rbac : faire que l’endpoint de synchronisation s’adapte aux permissions par OU de l’appelant added
Updated by Paul Marillonnet over 3 years ago
- File 0001-api-filter-synchronization-queryset-by-ou-permission.patch 0001-api-filter-synchronization-queryset-by-ou-permission.patch added
- Status changed from Nouveau to Solution proposée
- Patch proposed changed from No to Yes
Voilà, un premier bout du travail pour en finir avec les permissions globales dans l’API.
Updated by Paul Marillonnet over 3 years ago
- Status changed from Solution proposée to Nouveau
Fatigue, j’avais oublié que j’avais créé #71506 pour cet endpoint en particulier. C’est la version rebasée de ce patch qui apparaît ici, je vais la proposer dans le bon ticket :)