Amélioration #4746
fermé
[UserToken] Non prise en compte du contexte
100%
Plusieurs moyens d'envisager le problème :
- Préciser la notion de contexte dans le code en indiquant clairement l'usage qui va en être fait,
- Utiliser le contexte dans le cadre du processus d'authent pour restreindre les conditions d'utilisation de l'action,
De toute façon, il faut préciser la documentation qui est pour l'instant trop succincte pour être utile.
Description
Lors de la déclaration d'un token d'authentification (https://docs.anakeen.com/dynacase/3.2/dynacase-doc-core-reference/website/book/core-ref:9edc8f2e-6929-11e2-8610-0021e9fffec1.html#core-ref:9edc8f2e-6929-11e2-8610-0021e9fffec1), il est demandé plusieurs paramètres :
- Application => application à laquelle le token ouvre un accès,
- Action => action à laquelle le token ouvre un accès,
- Utilisateur => utilisateur au nom du quel l'action sera exécuté lorsque le token est utilisé,
- Context => le contexte d'utilisation de l'action (paramètres passés à l'action)
Lors de l'utilisation du token, l'application, l'action et l'utilisateur sont bien pris en compte, le contexte n'est lui pas utilisé (Class.openAuthenticator.php), on peut passer le paramétrage que l'on veut à l'action il sera utilisé => la notion de contexte lors de la déclaration du token apporte donc un faux sentiment de sécurité.
Mis à jour par Marc Claverie il y a environ 12 ans
- Statut changé de Nouveau à À analyser
- Assigné à mis à Éric Brison
- Priorité changé de Normal à Urgent
- Version cible mis à 3.1.16
- Version source changé de 3.1.16 à 3.1.15
Mis à jour par Éric Brison il y a environ 12 ans
la vérification du contexte n'est pas réalisée par le provider mais par les préconditions d'exécution de l'action.
En effet, le provider n'a pas encore connaissance des caractéristiques de l'action.
Voir méthode : Action::execute().
Mis à jour par Charles Bonnissent il y a environ 12 ans
- Solution proposée mis à jour (diff)
Mis à jour par Marc Claverie il y a environ 12 ans
- Tracker changé de Anomalie à Amélioration
- Version cible changé de 3.1.16 à 3.3#Maintenance
Mis à jour par Éric Brison il y a plus de 9 ans
- Statut changé de À analyser à Assigné
- Version cible changé de 3.3#Maintenance à 3.2.23
Mis à jour par Éric Brison il y a plus de 9 ans
- Lié à Anomalie #6625: Test de configuration - accès par token échoue ajouté
Mis à jour par Éric Brison il y a plus de 9 ans
- Statut changé de Assigné à Intégré
- % réalisé changé de 50 à 100
Appliqué par commit internal-platfrom:commit:ca267ec893477eb6b9ab59f9b7d75d9855ba8b4c.
Mis à jour par Jérôme Augé il y a presque 9 ans
- Lié à Anomalie #6994: Corruption table `usertoken` par `CORE_premigr_3.2.23` et `API/updateclass` ajouté