ZEP-17 : Elaboration de l'API des membres

Pour ce qui concerne l'utilisation d'une clé pour l'API, je n'ai rien vu d'implémenté dans DRF. Si vraiment nous voulons mettre en oeuvre ce mécanisme, faudra sans doute développer un truc maison.

Cela dit, actuellement, si je veux créer 60 000 utilisateurs, je peux le faire aussi via le site. Je trouve le site bien moins sécurisé sur ce point que l'API.

Moi je propose qu'on reste sur ça pour l'instant. L'API a déjà une limite forte : si le mec est pas authentifié, il peut pas créer des tonnes de comptes (max 60 par heure ?).

Du coup je propose qu'on reste comme ça. Si vraiment il y a abus on pourra toujours bannir temporairement l'ip et/ou désactiver ce chemin. En attendant, n'inventons pas un faux problème. la page de connexion a déjà le même genre de soucis. Tant que la fonctionnalité est désactivable, j'ai du mal a voir le soucis.

Mmh je suis d'accord avec firm1 d'un côté, mais je ne trouve pas ça bloquant.

Avec les arguments suivants (en faveur de "token only") :

• révocation de token si bug entraînant la création de membres non désirée (bug ou intention de nuire)

• c'est plutôt pas mal de savoir à l'aide de quels clients les utilisateurs sont créés, l'air de rien c'est plutôt cool comme info pour des stats. Même si on doit pouvoir gratter avec un user-agent etc. C'est plus immédiat.

Mais pour la prochaine Mep.

Après, ça me semble pas bloquant pour cette release je pense. Par contre, peut-être préparer très très tôt une PR (ou un patch suivant comment vous fonctionnez) ? Histoire de parer une éventuelle catastrophe ?

Et effectivement, avec un browser embarqué t'es largement au-dessus des 1 création par minute. Le truc c'est que les APIs de ce genre de libs (selenium et ses copains) sont généralement tellement mal branlées que c'est plus long à écrire qu'un script bash+curl :\

Non mais le throlling limite la casse (60 requete en une heure max si tu n'es pas authentifié).

Sachant qu'on a toujours en fall-back le bannissement d'ip. A la limite, une option dans l'admin pour désactiver en un clic cette option de l'API serait très bien.

Juste une question : l'API est-elle compatible avec OData? Si oui est-ce parce que c'est prévu comme ça ou bien parce que les outils qu'on utilise sont trop géniaux et qu'on s'en était pas encore rendu compte?

Mince j'étais pas au courant que l'api était sortie…

En tout cas bravo à tout les devs qui ont participé à cette api

Je passe cette ZEP à l'état active puisqu'elle est maintenant en prod. Encore merci à tous. La suite se passe sur ce sujet avec les MPs.

Pour info le versionning de l'API est maintenant disponible dans Django Rest Framework. On peut du coup commencer à versionner l'API pour les versions futures

C'est une chose à rajouter dans la ZEP-02.

Je sais plus trop où on le disait, mais il y a un problème avec cette page. Je crois que c'est dû au HTTPS.

Oui, Ge0 a renouvelé le nom de domaine aujourd'hui et ce bug est apparu chez certains utilisateurs. Le bug est connu et pas spécifique à l'API.

Oui, Ge0 a renouvelé le nom de domaine aujourd'hui et ce bug est apparu chez certains utilisateurs. Le bug est connu et pas spécifique à l'API.

C'est le certificat SSL qui a été renouvelé plutot

Je ne suis pas sûr que ce soit dû au renouvellement du certificat : https://zestedesavoir.com/forums/sujet/2556/cles-pour-lapi-des-membres/#p45967

Il y a 2 problèmes en fait et ça dépend de quel problème tu parles :

1. Ton navigateur spécifie un problème d'autorité du certificat. Dans ce cas, c'est ce que Kje et moi t'expliquait et le problème devrait être corrigé.
2. Tu ne peux pas accéder à la documentation parce que Swagger t'en empêche (et t'affiche un message pas très explicite). Dans ce cas, le problème devrait être réglé avec la prochaine release.

C'est le second. Mais s'il est réglé, c'est bon. Merci !

Bonsoir tout le monde,

Au cours de cette soirée, j'ai joué avec l'API des membres. Toutefois, un petit détail a attiré mon attention : le nombres de membres donné par l'API et par la page des membres est différent :

• Selon la page des membres, 3100 membres ;

• Selon l'API, 3370 membres.

Du coup, je pense que ce doit-être dû aux bannis et désinscrits. Qu'en est-il réellement ?

Salut Emeric,

Du coup, je pense que ce doit-être dû aux bannis et désinscrits.

De mémoire, c'est exactement ça. L'API ne fait aucun filtre, le site oui.

Merci pour la réponse.

Et donc, est-ce pertinent de laisser ça comme ça ? N'est-il pas possible d'appliquer le filtre du site à l'API ?

Je ne sais pas si c'est pertinent. De mon point de vue, l'API pourrait au mieux proposer de filtrer sur les membres "validés" (de mémoire, elle ne le fait pas).

Par contre, je sais que c'est une mauvaise idée de l'appliquer sous prétexte que le site le fait. Le site répond à un besoin de la communauté. C'est parce que nous avons jugé qu'il n'était pas pertinent de montrer à nos membres les membres bannis et d'autres membres sur d'autres critères. L'API, c'est une ouverture aux données. Elle désert toutes les données (que nous avons identifié avec la communauté) mais ce n'est pas dans l'esprit d'une API d'en cacher (sauf pour des questions de droit).

Pour résumé, le site et l'API, ce sont vraiment 2 choses bien différentes. Une chose peut être vraie sur le site et fausse sur l'API et inversement.