Doit t-on pouvoir récupérer un token à partir de l'API, si on est banni ?

a marqué ce sujet comme résolu.
Auteur du sujet

Bonjour,

Je me posais la question de savoir, si c'était une bonne pratique de pouvoir récupérer un token, si on est banni sur le site ?

La situation aujourd'hui, est qu'on peut récupérer un token mais on ne peut pas accéder qu'à certaine ressource en lecture seul.

Un début de discussion à lieu ici. Merci de lire d'abord la discussion sur le ticket avant de poster.

Merci d'avance

Développeur d’application Android - Clé PGP

+0 -0

heu Andr0: une autre fonctionnalité : éteindre toutes les clefs d'API d'une personne bannie.

artragis

C'est assez difficile a faire pour un membre banni temporairement (il faudrait commencer à croner ce genre de chose et là ça devient vite millepateux ).

Je rejoins la règle fonctionnellement, mais comme le précise Andr0, ce n'est pas trivial techniquement. J'aurai tendance ici à penser KISS.

+0 -0

Je ne connais pas Django mais en php avec le framework Symfony il y a la notion de firewall qui permet en une ligne de configuration de cibler un groupe utilisateur pour savoir s'il a ou non le droit d'accéder à telle ou telle ressource.

Avec une telle méthode on ne touche finalement pas au code et on interdit aux bannis d'accéder à l'API.

Une fonctionnalité dans le même style n'existe pas avec Django ?

#JeSuisArius

+0 -0

Pas nativement a ma connaissance (assez limitée), quelqu'un a essayé quelque chose du genre : https://github.com/bluebit/django-firewall mais c'est assez limité pour l'instant et ne suffirait pas pour notre cas.

Je dit peut etre une connerie, mais pourquoi ne pas utiliser un decorateur de ce type ( https://docs.djangoproject.com/en/1.9/topics/auth/default/#limiting-access-to-logged-in-users-that-pass-a-test ) il suffiraot juste d'écrire le décorateur et de la placer sur toutes les viues de l'Api. Le nombre de modifs est conséquent, mais la tache est simple.

Edit : ajout décorateur

Édité par Anto59290

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte