Restreindre la capacité de liste de l'api Users

Vu par @nschont pendant les JMN-2023

Lorsque l'on veut partager un document dans Nextcloud, l'utilisateur a un système de recherche sans contrainte.

Si on observe la requête, l'ensemble des utilisateurs de la base Mongodb peut être extraite. Ce n'est pas acceptable.

Il faut voir comment limiter la capacité de recherche dans Nextcloud. Proposition :

si le chaîne de recherche fait moins de 5 caractères, l'API ne renvoi pas de liste. => #5
L'API ne devrait être accessible que depuis les Nextcloud (filtrage IP_WHITELIST ) ou AUTH_KEY pour limiter les accès

Edited May 30, 2023 by Lionel Morin