API REST : Sécurisation de /createusertoken par structure
(Identique issue #517 (closed) mais pour l'endpoint /createusertoken)
Avoir la possibilité de rajouter un niveau de sécurisation de l'appel à l'endpoint /createusertoken par structure.
C'est à dire qu'en plus de la sécurisation par Api Key, on doit avoir la possibilité dans les settings d'associer une Api Key à une ou plusieurs structure. Lors de la création du token de l'utilisateur, si l'Api Key ne match pas la structure de l'utilisateur, la création du token devient impossible et génère une erreur de droits.
Cette configuration doit être totalement optionnelle, et dans le cas ou rien n'est défini pour l'Api Key, l'appel doit fonctionner comme actuellement.
Si cela simplifie le développement, on peut accoder le fait que les Api Key ne seront associées qu'à des structure de niveau racine. Il faut par contre bien vérifier que si l'utilisateur est dans une sous structure, si les droits sont accordés à une structure parente l'appel API doit fonctionner.
Voici un exemple de settings possible :
"createUserTokenApiKeys": ["createusertoken-password1", "createusertoken-password2", "createusertoken-password3"],
"createUserTokenApiKeysByStructures": {
"createusertoken-password1": ["Structure 1", "Structure 3"],
"createusertoken-password2": ["Structure 2"]
}
Pour que ce soit fonctionnel :
- toutes les Api Keys définies dans "createUserTokenApiKeysByStructures" doivent être dans "createUserTokenApiKeys";
- si une Api Key est dans "createUserTokenApiKeys" mais pas dans "createUserTokenApiKeysByStructures", il n'y a alors pas de restriction;
- dans l'exemple, l'Api Key "createusertoken-password1" donne le droit de créer des utilisateurs dans les structures "Structure 1" et "Structure 3" ainsi que toutes les structures enfants de ces deux structures;
- l'Api Key "createusertoken-password3" permet de créer des utilisateurs dans n'importe quelle structure