Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Les utilisateurs qui demandent à rejoindre une asso, sont marqués acceptés sur l'API #322

Open
noeamiot opened this issue Feb 24, 2020 · 7 comments · May be fixed by #345
Open

Les utilisateurs qui demandent à rejoindre une asso, sont marqués acceptés sur l'API #322

noeamiot opened this issue Feb 24, 2020 · 7 comments · May be fixed by #345
Assignees
Labels
api Concerns the API bug Something isn't working urgent Urgent issue

Comments

@noeamiot
Copy link
Member

Lorsqu'un utilisateur demande un rôle dans une asso, avant même d'être accepté, il apparaît dans les résultats de /assos/{asso_id}/members.
Cela permettrait à des utilisateurs de se faire passer pour un rôle qu'ils n'ont pas sur les applications qui ne vérifieraient pas que validated_by n'est pas null.

@MercierCorentin MercierCorentin added api Concerns the API bug Something isn't working urgent Urgent issue labels Feb 24, 2020
@MercierCorentin
Copy link
Contributor

MercierCorentin commented Feb 24, 2020

Merci, on s'en occupe asap!

@NastuzziSamy
Copy link
Contributor

Nope les gars, l'issue n'est pas si critique que ça enfin de compte !

Il faut changer la policy par défaut de l'affichage d'un membership pour n'afficher par défaut une fois encore que les validés. Mais c'est ce qu'il faudrait appliquer sur toutes les relations validées.

Je check le code.

Mais faudra adapter le front :)

@NastuzziSamy
Copy link
Contributor

Je corrige ce que j'ai dit, il faut modifier tous les contrôleurs pour ajouter un filtrage optionnel de validation ou non

Ça peut être plutôt important pour le coup si on ne check pas côté client la validité.

Bien vu @noeamiot !

@noeamiot
Copy link
Member Author

Pour le filtre, je pense qu'il faut, de base, masquer les assos non validées car toutes les personnes qui utiliseront l'API ne penseront pas forcément à vérifier la valeur de validatedbyid.

@NastuzziSamy
Copy link
Contributor

Clairement ! Il faut avoir une politique de restriction. Mais du coup je t'invite à regarder pour toutes les relations validées

@noeamiot
Copy link
Member Author

J'ai fait une liste des tables dans lesquelles il y a une collone de validation, je vais essayer de me pencher sur l'issue prochainement :

assos_access
assos_members
assos_permissions

groups_members

users_permissions
users_roles

@MercierCorentin
Copy link
Contributor

MercierCorentin commented Feb 28, 2020

Pour info et pour assos members: J'ai vu qu'il y avait dans les controllers la méthode allMembers() qui retourne tout les membres. La méthode members() retourne seulement les membres validés.
@noeamiot

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
api Concerns the API bug Something isn't working urgent Urgent issue
Projects
None yet
Development

Successfully merging a pull request may close this issue.

3 participants