[TECH] Dans Pix API supprimer les notions erronées ou obsolètes de scope et de target utilisées pour la vérification du droit d’accès d’un utilisateur à une application (PIX-15945) #11513
+251
−324
Conversation
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
|
Une fois les applications déployées, elles seront accessibles via les liens suivants :
Les variables d'environnement seront accessibles via les liens suivants : |
lego-technix
force-pushed
the
pix-15945-refactor-user-specific-application-authorization
branch
2 times, most recently
from
f6bc8a3 to
e0fe206
Compare
lego-technix
changed the title
lego-technix
force-pushed
the
pix-15945-refactor-user-specific-application-authorization
branch
from
e0fe206 to
0e00e87
Compare
lego-technix
added
👀 Tech Review Needed
Tech Review OK
👀 Func Review Needed
lego-technix
force-pushed
the
pix-15945-refactor-user-specific-application-authorization
branch
from
0e00e87 to
2394a64
Compare
lego-technix
changed the title
lego-technix
force-pushed
the
pix-15945-refactor-user-specific-application-authorization
branch
4 times, most recently
from
07e685c to
8f225c7
Compare
…s more consistent in variable and function naming to prepare for factoring out.
… instead of erroneous scope
lego-technix
force-pushed
the
pix-15945-refactor-user-specific-application-authorization
branch
from
8f225c7 to
bf7e846
Compare
…tion instead of target
… the API directly because otherwise it looses the front URL and prevent URL-based security mechanisms to apply.
by using a _getPostFormOptions helper function.
lego-technix
force-pushed
the
pix-15945-refactor-user-specific-application-authorization
branch
from
bf7e846 to
05cedac
Compare
|
Test func 1 OK ✅ Test func 2 KO ❌ Test func 3 KO ❌ |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Add this suggestion to a batch that can be applied as a single commit.
This suggestion is invalid because no changes were made to the code.
Suggestions cannot be applied while the pull request is closed.
Suggestions cannot be applied while viewing a subset of changes.
Only one suggestion per line can be applied in a batch.
Add this suggestion to a batch that can be applied as a single commit.
Applying suggestions on deleted lines is not supported.
You must change the existing code in this line in order to create a valid suggestion.
Outdated suggestions cannot be applied.
This suggestion has been applied or marked resolved.
Suggestions cannot be applied from pending reviews.
Suggestions cannot be applied on multi-line comments.
Suggestions cannot be applied while the pull request is queued to merge.
Suggestion cannot be applied right now. Please check back later.
🥞 Problème
Les usecases
authenticateUseretauthenticateOidcUserse basent encore sur des notions descopeet detargetqui sont erronées ou maintenant obsolètes et que nous voulons supprimer du code de Pix.De plus, les usecases
authenticateUseretauthenticateOidcUsersont très proches mais ont du code légèrement différent, ce qui empêchent du travail de factorisation présent et futur.🥓 Proposition
authenticateUseretauthenticateOidcUserplus cohérent en utilisant les mêmes noms de variables et les mêmes noms de fonction,RequestedApplication, déduite à partir de l'origin, pour remplacer les notions descopeet detarget.PS : On aurait aimé utiliser un security prehandler en commun, mais ce n’est pas possible car dans le cas du usecase
authenticateOidcUserl'utilisateur n'est trouvé qu'à l'intérieur du usecase lors des échanges OIDC.🧃 Remarques
RAS
😋 Pour tester
Tester la connexion par login + mot de passe
Ces tests permettent de valider le bon fonctionnement du usecase
authenticateUser.Se connecter sur Pix App avec un utilisateur ayant un compte et constater l'authentification réussie,
Se connecter sur Pix Orga avec n'importe quel utilisateur n'ayant aucun droit sur des orgas (par exemple
[email protected]) et constater l'échec de l'authentification avec l'affichage du message :Se connecter sur Pix Orga avec un utilisateur ayant des droits sur une orga (par exemple
[email protected]) et constater l'authentification réussie,Se connecter sur Pix Admin avec n'importe quel utilisateur n'ayant aucun droit sur Pix Admin (par exemple
[email protected]) et constater l'échec de l'authentification avec l'affichage du message :Se connecter sur Pix Admin avec un utilisateur
SUPER_ADMIN(par exemple[email protected]) et constater l'authentification réussie.Tester la connexion par SSO
Ces tests permettent de valider le bon fonctionnement du usecase
authenticateOidcUser.