Fonctionnalité #13911
fermé
Utilisateur Webservice : mode avancé de sécurisation par routes REST en liste blanche
Ajouté par Emmanuel DILLARD il y a plus de 4 ans.
Mis à jour il y a plus de 3 ans.
Description
Sécurité :
Pour injecter un courrier et les pièces jointes associées par WebService, il faut :
- Injecter le courrier, le resId nous est retourné en réponse
- Injecter la PJ en faisant référence au resId précédemment retourné.
Or nous avons rencontré une erreur à l'injection de la PJ. Celle-ci nous indique que le resId n'est pas dans notre périmètre. Pour pallier à cette erreur, nous avons donné tous les droits de visibilité au groupe contenant notre compte de service (clause 1=1).
Jusqu'à présent nos comptes de service n'avaient aucun droit (clause 1=2) afin d'empêcher tous traitements non autorisé (lecture, modification, ...). Or maintenant, nous devons donner la visibilité à des documents au groupe de service. Ce point est pour moi un risque de sécurité.
- Statut changé de R&D - A étudier à Etude planifiée
- Priorité changé de 1-Majeur à 0-Bloquant
- Priorité changé de 0-Bloquant à 1-Majeur
- Tracker changé de Anomalie à Fonctionnalité
- Sujet changé de Injection de Pièce jointe : nécessité de donner la visibilité sur tout le périmètre au compte de service à Injection de Pièce jointe : nécessité de sécuriser la clause du groupe associé au compte de service
- Statut changé de Etude planifiée à 17
- Assigné à changé de EDI PO à Emmanuel DILLARD
- Statut changé de 17 à Etude planifiée
- Statut changé de Etude planifiée à En cours d'écriture PO
US sur la non visibilité des pj ?
Filtrer le WS sur les routes ?
Paramétrage du compte de service (limiter)
- Statut changé de En cours d'écriture PO à Etude planifiée
- Version cible changé de 20.03 (Fin de vie) à 20.10 Develop
-> par défaut : toutes les routes
-> Mode avancé : écrire les routes
Administration de l'utilisateur / mode avancé
Textarea (liens vers la doc)
Test de conformité du code
La clause reste au niveau du groupe.
Pas de migration
Sauvegarde en BDD
-> 20.10
- Statut changé de Etude planifiée à En attente financement
- Sujet changé de Injection de Pièce jointe : nécessité de sécuriser la clause du groupe associé au compte de service à Utilisateur Webservice : mode avancé de sécurisation par routes REST en liste blanche
- Statut changé de En attente financement à R&D - A planifier
- Priorité changé de 1-Majeur à 0-Bloquant
- Projet changé de 298 à 299
- Statut changé de R&D - A planifier à R&D - En cours
- Assigné à
Emmanuel DILLARD supprimé
- Assigné à mis à Damien BUREL
- Assigné à
Damien BUREL supprimé
- Assigné à mis à Damien BUREL
- Statut changé de R&D - En cours à R&D - Terminé
- Statut changé de R&D - Terminé à R&D - En cours
RAF
Ajouter un lien vers la doc WS
"Passer une ligne entre chaque route"
- Statut changé de R&D - En cours à R&D - Terminé
- Projet changé de 299 à 298
- Projet changé de 298 à Backlog Courrier
- Version cible changé de 20.10 Develop à 20.10
Formats disponibles : Atom
PDF