Tout semble bon ici. On passe la ZEP en validation ?
Deux (trois) questions pour l'assistance:
Doit t-on pouvoir posséder plusieurs clés en même temps ? Par-exemple, je créé un ZdsGameAvatar et une autre superbe application. Doit t-on considérer qu'il est acceptable d'avoir pour la même clée pour les deux applications ou faut t-il en créé deux ? Dans le cas de deux clés on devrait avoir un espace pour créé un projet et par projet on demande des clés.
Que ce passe t-il lors de la désinscription du membre au niveau des clés ?
(Les cgu suffisent t-elle pour se protéger des applications peu recommandable ?)
Sinon un système de lot me parait pertinent pour cet zep, je propose :
lot-0: demande de une clée par membre, gestion de la désinscription, page statique pour la présentation des projets, lien vers la documentation.
lot-1: demande de clés automatique par projet.
lot-2: demande de figurer sur la page de manière automatique avec validation.
Voilà des questions très pertinentes Hugo et je ne peux pas vraiment donner de réponses tout seul.
Doit t-on pouvoir posséder plusieurs clés en même temps ?
Je pensais que non mais ton argument est plutôt bon et je tenterais maintenant vers oui. Faudrait l'avis de plus de monde.
Que ce passe t-il lors de la désinscription du membre au niveau des clés ?
Les clés d'API sont attachées à un utilisateur donné, il faudrait donc les supprimer. Mais c'est une question qu'on pourrait déjà se poser actuellement puisque nous générons déjà des clés pour les utilisateurs et nous ne supprimons pas la clé quand l'utilisateur se désinscrit.
(Les cgu suffisent t-elle pour se protéger des applications peu recommandable ?)
Je ne suis pas compétent pour répondre à cette question mais j'ai pingé Arius. Par contre, tout comme la question précédente, c'est une question sur laquelle on pourrait déjà s'attarder puisque les clés sont déjà délivrés à nos utilisateurs.
Sinon un système de lot me parait pertinent pour cet zep, je propose :
J'ai pas compris ce qu'est un "lot".
Je ne sais pas si cela à déjà été abordé ici mais les serveurs de Zeste de Savoir sont assez "limités" en puissance et j'ai peur qu'une génération automatique des clés soient mal utilisé.
Il faudrait prévoir un quota de génération au niveau du site (pas des utilisateurs) ainsi que (mais c'est un détail) un système de captcha ou autre pour la génération des clés.
Que ce passe t-il lors de la désinscription du membre au niveau des clés ?
Les clés d'API sont attachées à un utilisateur donné, il faudrait donc les supprimer. Mais c'est une question qu'on pourrait déjà se poser actuellement puisque nous générons déjà des clés pour les utilisateurs et nous ne supprimons pas la clé quand l'utilisateur se désinscrit.
J'ai créé un ticket pour "supprimer les clés lors de la désinscription"
J'ai pas compris ce qu'est un "lot".
C'était juste pour dire qu'au départ on a peut-être pas besoin de tout le système de validation on pourrait faire juste une page "statique" pour la présentation des projets.
Il faudrait prévoir un quota de génération au niveau du site (pas des utilisateurs) ainsi que (mais c'est un détail) un système de captcha ou autre pour la génération des clés
Ou plus simple un captcha activable sur demande mais je pense pas qu'on en es besoin honnêtement. Je sais pas si y'a des soucis au niveau sécurité, de la demande de génération de plein de clés.
Faire une limite d'une dizaine de clé par membre me semble déjà raisonnable 
(Les cgu suffisent t-elle pour se protéger des applications peu recommandable ?)
Pas vraiment. Elles n'ont pas été écrites en tenant compte de l'éventualité d'applications tierces. Cela implique donc de se creuser les méninges pour se protéger un minimum de ce qui n'est pas recommandable (et donc de mettre à jour les cgu avec une section dédiée).
Si on peut faire ça rapidement, on pourrais le passer à l'AG de l'association qui est prochainement. Je sais pas si l'association doit voter si on modifie les cgu du site …
En soi, il n'y a rien de folichon, mais il faudrait voir quelles seraient les moyens de rétorsions en cas d'abus (révocation de la clé ? plus ?), quels genre d'abus auxquels vous pensez et modifier les CGU en conséquence.
A noter qu'il faudra prévenir l'ensemble des membres (soit via un article, un mail) des modifications. C'est obligatoire. 
Comme ça, je pense tout de suite à ces moyens de rétorsions en cas d'abus:
et aussi à ce genres d'abus sont:
Délibérément outrepasser les limites autorisé par l'api en terme de nombre de requête et de charge serveur
T'entends quoi par là ?
Essayer grâce à l'api de récupérer des informations personnelles
Ouep, ça, ça va poser problème si un gars y arrive.... x)
Délibérément outrepasser les limites autorisé par l'api en terme de nombre de requête et de charge serveur
T'entends quoi par là ?
Je pensais à celui qui créé 5 comptes, et profite des quotas de chaque compte, juste pour nous emmerder. On peut appliquer la double sanction du coup.
Essayer grâce à l'api de récupérer des informations personnelles
Ouep, ça, ça va poser problème si un gars y arrive.... x)
De toute manière, personne n'y arrivera !
Plop !
Récemment ça parle de clé d'API sur les forums (obtention automatique de clé), quel est le status de cette ZEP ?
Son status n'a pas changé par rapport à ce qui est renseigné comme tag ou dans le premier message de cette ZEP : "rédaction". Il n'y a donc aucun dev amorcé.
Pour faire avancer cette ZEP, quelques questions concernant le front :
Comment accède t-on à la page ?
Comment organise la page principale ? On a la doc de l'API, la génération automatique de clés, la liste des SDKs, la liste des projets. Il faudra que ce soit bien organisé…
Comment accède t-on à la page ?
Je verrais bien, tout simplement, un lien dans le footer, qui mène vers la page citée ci-dessus.
Comment accède t-on à la page ?
Je verrais bien, tout simplement, un lien dans le footer, qui mène vers la page citée ci-dessus.
+1
Comment organise la page principale ? On a la doc de l'API, la génération automatique de clés, la liste des SDKs, la liste des projets. Il faudra que ce soit bien organisé…
Je voyais comme ça, la page principale à la liste des projets puis des sdk, va pas en avoir 5000 projets au début, donc on peut tout mettre sur une page. Un lien avec la doc de l'api et un lien pour créer un projet.
Dans la page de création de projet, tu aurais un endroit pour généré les clefs secret de ton projet avec encore un lien vers la doc de l'api. Pourquoi pas un générateur de token oauth2 pour permettre les tests ?
Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte