Authorization missing #27
Labels
bug
Something isn't working
Comments
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Dosud jsme neřešili oprávnění jinak, než že se kontrolovalo, že je uživatel přihlášen, popř. že pracuje s vlastními záznamy.
Known issue bylo jen seedování, kdokoliv mohl pustit znovu seed, pokud šel na /admin.
Nyní se ale myslím dostáváme za hranici toho, co tam můžeme nechat bez ochrany:
EntryFacade.GetEntriesOfPeriod()vrátí všechny záznamy v periodě komukoliv přihlášenému (= přístup k chráněným datům)PeriodFacade.CreateNewPeriod()Navrhuji to pro tuto chvíli řešit členstvím v AAD roli Global Administrator, popř. nějaké konkrétní skupině (třeba Bonusario Administrator). Pro účely aplikace bych to transformoval na roli.
V nastavení AAD je potřeba zapnout injectování AAD-groups do tokenů (claimů), pak se to z toho čte už klasicky, např.
https://github.com/mensagymnazium/IntranetGen3/blob/460b4447355517a3a4794fc9d784f462adf600b8/Services/Security/UserOnboarder.cs#L83
The text was updated successfully, but these errors were encountered: