Renvoi d'un token 'périmé' sur /api/nctoken
Le logiciel 'laboite' semble ne pas tester la validité ou non d'un token nextcloud dans la requête envoyée sur /api/nctoken.
le cas de reproduction de problème est le suivant :
-
on fait un premier appel sur /api/nctoken pour créer un token
-
l'utilisateur va sur son nextcloud, dans https://MONNEXTCLOUD.FR/index.php/settings/user/security
-
on invalide le token
-
à ce moment, le logiciel 'laboite' a en mémoire l'ancien token, qui est désormais non-valide/non-fonctionnel Proposition de résolution : le seul logiciel utilisant actuellement cet endpoint ( '/api/nctoken' ) est visio-agent/B3desk. Ce logiciel a déjà une gestion de validité ou non du token, et ne fait un appel à laboite sur /api/nctoken que dans le cas d'un token qui n'est pas fonctionnel. Il est donc possible pour laboite d'agir de la façon suivante : dès qu'un appel est reçu sur /api/nctoken, laboite va générer un nouveau token, et laboite ne garde pas en mémoire le token généré, c'est visio-agent/b3desk qui s'en charge.
-
on relance un appel api à laboite sur /api/nctoken, qui nous renvoie le token 'périmé' en réponse.
Le bug a été remonté le 08/03/2023 en visio.