Fonctionnalité #13911
Utilisateur Webservice : mode avancé de sécurisation par routes REST en liste blanche
Description
Sécurité :
Pour injecter un courrier et les pièces jointes associées par WebService, il faut :
* Injecter le courrier, le resId nous est retourné en réponse
* Injecter la PJ en faisant référence au resId précédemment retourné.
Or nous avons rencontré une erreur à l'injection de la PJ. Celle-ci nous indique que le resId n'est pas dans notre périmètre. Pour pallier à cette erreur, nous avons donné tous les droits de visibilité au groupe contenant notre compte de service (clause 1=1).
Jusqu'à présent nos comptes de service n'avaient aucun droit (clause 1=2) afin d'empêcher tous traitements non autorisé (lecture, modification, ...). Or maintenant, nous devons donner la visibilité à des documents au groupe de service. Ce point est pour moi un risque de sécurité.
Historique
#1 Mis à jour par Emmanuel DILLARD il y a presque 4 ans
- Statut changé de R&D - A étudier à Etude planifiée
#2 Mis à jour par Emmanuel DILLARD il y a presque 4 ans
- Priorité changé de 1-Majeur à 0-Bloquant
#5 Mis à jour par Emmanuel DILLARD il y a presque 4 ans
- Priorité changé de 0-Bloquant à 1-Majeur
#6 Mis à jour par Emmanuel DILLARD il y a presque 4 ans
- Tracker changé de Anomalie à Fonctionnalité
- Sujet changé de Injection de Pièce jointe : nécessité de donner la visibilité sur tout le périmètre au compte de service à Injection de Pièce jointe : nécessité de sécuriser la clause du groupe associé au compte de service
#9 Mis à jour par Emmanuel DILLARD il y a presque 4 ans
- Statut changé de Etude planifiée à 17
- Assigné à changé de EDI PO à Emmanuel DILLARD
#11 Mis à jour par Emmanuel DILLARD il y a presque 4 ans
- Statut changé de 17 à Etude planifiée
#13 Mis à jour par Emmanuel DILLARD il y a presque 4 ans
- Statut changé de Etude planifiée à En cours d'écriture PO
US sur la non visibilité des pj ?
Filtrer le WS sur les routes ?
Paramétrage du compte de service (limiter)
#14 Mis à jour par Emmanuel DILLARD il y a presque 4 ans
- Statut changé de En cours d'écriture PO à Etude planifiée
- Version cible changé de 20.03 (Fin de vie) à 20.10 Develop
-> par défaut : toutes les routes
-> Mode avancé : écrire les routes
Administration de l'utilisateur / mode avancé
Textarea (liens vers la doc)
Test de conformité du code
La clause reste au niveau du groupe.
Pas de migration
Sauvegarde en BDD
-> 20.10
#16 Mis à jour par Emmanuel DILLARD il y a presque 4 ans
- Statut changé de Etude planifiée à En attente financement
#17 Mis à jour par Emmanuel DILLARD il y a presque 4 ans
- Sujet changé de Injection de Pièce jointe : nécessité de sécuriser la clause du groupe associé au compte de service à Utilisateur Webservice : mode avancé de sécurisation par routes REST en liste blanche
#18 Mis à jour par Emmanuel DILLARD il y a plus de 3 ans
- Statut changé de En attente financement à R&D - A planifier
- Priorité changé de 1-Majeur à 0-Bloquant
#20 Mis à jour par Emmanuel DILLARD il y a plus de 3 ans
- Projet changé de Backlog à CURRENT SPRINT
- Statut changé de R&D - A planifier à R&D - En cours
#21 Mis à jour par Florian AZIZIAN il y a plus de 3 ans
- Assigné à
Emmanuel DILLARDsupprimé
#23 Mis à jour par Damien BUREL il y a plus de 3 ans
- Assigné à mis à Damien BUREL
#24 Mis à jour par Damien BUREL il y a plus de 3 ans
- Assigné à
Damien BURELsupprimé
#25 Mis à jour par Damien BUREL il y a plus de 3 ans
- Assigné à mis à Damien BUREL
#26 Mis à jour par Damien BUREL il y a plus de 3 ans
- Statut changé de R&D - En cours à R&D - Terminé
#27 Mis à jour par Emmanuel DILLARD il y a plus de 3 ans
- Statut changé de R&D - Terminé à R&D - En cours
RAF
Ajouter un lien vers la doc WS
"Passer une ligne entre chaque route"
#29 Mis à jour par Damien BUREL il y a plus de 3 ans
- Statut changé de R&D - En cours à R&D - Terminé
#30 Mis à jour par Emmanuel DILLARD il y a plus de 3 ans
- Projet changé de CURRENT SPRINT à Backlog
#32 Mis à jour par Emmanuel DILLARD il y a presque 3 ans
- Projet changé de Backlog à Backlog Courrier
- Version cible changé de 20.10 Develop à 20.10