Développement #71463
open
api/rbac : au lieu d’une vérification booléenne sur une permission globale, filtrer automatiquement les querysets en fonction des permissions équivalentes par OU détenues par l’appelant
Added by Paul Marillonnet (retour le 04/05) over 3 years ago.
Updated over 3 years ago.
Start date:
18 November 2022
Description
Un exemple tout simple : si on crée un client d’API et qu’on lui attribue le rôle d’administration des usagers d’une OU lambda, on s’attend à ce qu’une entité ayant recours à ce client puisse taper un /api/users/synchronization/ et se voie renvoyer la liste usagers de cette OU. Actuellement, ce n’est pas le cas, l’API renvoie une 403 car le client ne détient pas la permission globale 'custom_user.search_user'.
Files
- Related to Développement #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’API added
- Description updated (diff)
(Je mets à la description, je m’étais mélangé les pinceaux et citais précisément l’endpoint où ce ticket ne s’applique pas.)
- Description updated (diff)
- Related to Développement #71506: api/rbac : faire que l’endpoint de synchronisation s’adapte aux permissions par OU de l’appelant added
Voilà, un premier bout du travail pour en finir avec les permissions globales dans l’API.
- Assignee set to Paul Marillonnet (retour le 04/05)
- Status changed from Solution proposée to Nouveau
Fatigue, j’avais oublié que j’avais créé #71506 pour cet endpoint en particulier. C’est la version rebasée de ce patch qui apparaît ici, je vais la proposer dans le bon ticket :)
Also available in: Atom
PDF