Intégration backend avec Comptes DataPass

[florimondmanca]

Refs:

• Enregistrement et connexion #124
• Investiguer l'authentification par DataPass #294
• Transition vers DataPass #350

Prérequis :

• Découplage technique entre informations de compte et informations d'authentification #362

L'enregistrement et la connexion via son compte DataPass nécessite l'intégration technique avec ce système.

Pour cela, il faut :

• Ajouter des boutons côté client qui appelleront un endpoint de proxy côté serveur d'API. Celui-ci devra appeler le Authorization Endpoint qui est : https://auth.api.gouv.fr/authorize
• Implémenter un callback côté serveur d'API. Ce callback devra :
  • Appeler le TokenEndpoint, qui est https://auth.api.gouv.fr/token. On obtient ainsi un token puis le userinfo. Ce dernier contiendra : { email: str, organizations: []{id, siret} } (cf. doc api-auth).
  • Si un DataPassUser (cf. Transition vers DataPass #350) avec datapass_user.user.email == userinfo["email"] n'existe pas encore :
    • Créer le User avec les informations du userinfo, et lui assigner un DataPassUser (entité "marqueur" avec seulement un id).
  • Rediriger le navigateur vers une page frontend avec { organization_siret, email, role, api_token } en query parameters, ce qui permet au navigateur de stocker cela en localStorage puis de rediriger vers la page d'accueil connectée, comme pour le login classique actuel.
• Une fois prêts, contacter l'équipe Comptes DataPass pour enregistrer le callback staging sur leur instance de test.

En prérequis, il faut faire passer les utilisateurs existants dans une table LegacyUser qui stockera leur password_hash, de sorte que User ne contienne plus que id, organization_siret, email, api_token, role.

Le backend d'authentification entre l'API et le front ne change pas : un utilisateur créé via Datapass aura aussi un api_token.