ZEP-17 : Elaboration de l'API des membres

a marqué ce sujet comme résolu.

Pour le reste je ne suis pas surs que la clé API soit bien sécurisante mais bon.

ça permet déjà de limiter ce genre d'actions a un périmètre limité de personnes. On me dira aussi que de toute façon les clés peuvent être récupérées par n'importe qui, mais au moins on saura les désactivés plus facilement/proprement.

Pour ce qui concerne l'utilisation d'une clé pour l'API, je n'ai rien vu d'implémenté dans DRF. Si vraiment nous voulons mettre en oeuvre ce mécanisme, faudra sans doute développer un truc maison.

Cela dit, actuellement, si je veux créer 60 000 utilisateurs, je peux le faire aussi via le site. Je trouve le site bien moins sécurisé sur ce point que l'API.

Moi je propose qu'on reste sur ça pour l'instant. L'API a déjà une limite forte : si le mec est pas authentifié, il peut pas créer des tonnes de comptes (max 60 par heure ?).

Du coup je propose qu'on reste comme ça. Si vraiment il y a abus on pourra toujours bannir temporairement l'ip et/ou désactiver ce chemin. En attendant, n'inventons pas un faux problème. la page de connexion a déjà le même genre de soucis. Tant que la fonctionnalité est désactivable, j'ai du mal a voir le soucis.

Mmh je suis d'accord avec firm1 d'un côté, mais je ne trouve pas ça bloquant.

Avec les arguments suivants (en faveur de "token only") :

  • révocation de token si bug entraînant la création de membres non désirée (bug ou intention de nuire)

  • c'est plutôt pas mal de savoir à l'aide de quels clients les utilisateurs sont créés, l'air de rien c'est plutôt cool comme info pour des stats. Même si on doit pouvoir gratter avec un user-agent etc. C'est plus immédiat.

Mais pour la prochaine Mep.

Après, ça me semble pas bloquant pour cette release je pense. Par contre, peut-être préparer très très tôt une PR (ou un patch suivant comment vous fonctionnez) ? Histoire de parer une éventuelle catastrophe ?

Et effectivement, avec un browser embarqué t'es largement au-dessus des 1 création par minute. Le truc c'est que les APIs de ce genre de libs (selenium et ses copains) sont généralement tellement mal branlées que c'est plus long à écrire qu'un script bash+curl :\

+0 -0

Non mais le throlling limite la casse (60 requete en une heure max si tu n'es pas authentifié).

Sachant qu'on a toujours en fall-back le bannissement d'ip. A la limite, une option dans l'admin pour désactiver en un clic cette option de l'API serait très bien.

Il y a 2 problèmes en fait et ça dépend de quel problème tu parles :

  1. Ton navigateur spécifie un problème d'autorité du certificat. Dans ce cas, c'est ce que Kje et moi t'expliquait et le problème devrait être corrigé.
  2. Tu ne peux pas accéder à la documentation parce que Swagger t'en empêche (et t'affiche un message pas très explicite). Dans ce cas, le problème devrait être réglé avec la prochaine release.

Bonsoir tout le monde,

Au cours de cette soirée, j'ai joué avec l'API des membres. Toutefois, un petit détail a attiré mon attention : le nombres de membres donné par l'API et par la page des membres est différent :

  • Selon la page des membres, 3100 membres ;

  • Selon l'API, 3370 membres.

Du coup, je pense que ce doit-être dû aux bannis et désinscrits. Qu'en est-il réellement ?

Je ne sais pas si c'est pertinent. De mon point de vue, l'API pourrait au mieux proposer de filtrer sur les membres "validés" (de mémoire, elle ne le fait pas).

Par contre, je sais que c'est une mauvaise idée de l'appliquer sous prétexte que le site le fait. Le site répond à un besoin de la communauté. C'est parce que nous avons jugé qu'il n'était pas pertinent de montrer à nos membres les membres bannis et d'autres membres sur d'autres critères. L'API, c'est une ouverture aux données. Elle désert toutes les données (que nous avons identifié avec la communauté) mais ce n'est pas dans l'esprit d'une API d'en cacher (sauf pour des questions de droit).

Pour résumé, le site et l'API, ce sont vraiment 2 choses bien différentes. Une chose peut être vraie sur le site et fausse sur l'API et inversement.

Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte