Doit t-on pouvoir récupérer un token à partir de l'API, si on est banni ?

a marqué ce sujet comme résolu.

Bonjour,

Je me posais la question de savoir, si c'était une bonne pratique de pouvoir récupérer un token, si on est banni sur le site ?

La situation aujourd'hui, est qu'on peut récupérer un token mais on ne peut pas accéder qu'à certaine ressource en lecture seul.

Un début de discussion à lieu ici. Merci de lire d'abord la discussion sur le ticket avant de poster.

Merci d'avance

+0 -0

heu Andr0: une autre fonctionnalité : éteindre toutes les clefs d'API d'une personne bannie.

artragis

C'est assez difficile a faire pour un membre banni temporairement (il faudrait commencer à croner ce genre de chose et là ça devient vite millepateux ).

Je rejoins la règle fonctionnellement, mais comme le précise Andr0, ce n'est pas trivial techniquement. J'aurai tendance ici à penser KISS.

Je ne connais pas Django mais en php avec le framework Symfony il y a la notion de firewall qui permet en une ligne de configuration de cibler un groupe utilisateur pour savoir s'il a ou non le droit d'accéder à telle ou telle ressource.

Avec une telle méthode on ne touche finalement pas au code et on interdit aux bannis d'accéder à l'API.

Une fonctionnalité dans le même style n'existe pas avec Django ?

+0 -0

Pas nativement a ma connaissance (assez limitée), quelqu'un a essayé quelque chose du genre : https://github.com/bluebit/django-firewall mais c'est assez limité pour l'instant et ne suffirait pas pour notre cas.

Je dit peut etre une connerie, mais pourquoi ne pas utiliser un decorateur de ce type ( https://docs.djangoproject.com/en/1.9/topics/auth/default/#limiting-access-to-logged-in-users-that-pass-a-test ) il suffiraot juste d'écrire le décorateur et de la placer sur toutes les viues de l'Api. Le nombre de modifs est conséquent, mais la tache est simple.

Edit : ajout décorateur

+0 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte