Dosud jsme neřešili oprávnění jinak, než že se kontrolovalo, že je uživatel přihlášen, popř. že pracuje s vlastními záznamy.
Known issue bylo jen seedování, kdokoliv mohl pustit znovu seed, pokud šel na /admin.
Nyní se ale myslím dostáváme za hranici toho, co tam můžeme nechat bez ochrany:
EntryFacade.GetEntriesOfPeriod() vrátí všechny záznamy v periodě komukoliv přihlášenému (= přístup k chráněným datům)PeriodFacade.CreateNewPeriod()- ...rovnou je potřeba vyřešit i ten seed (a ochránit i UI AdminIndex.razor, atp.).
Navrhuji to pro tuto chvíli řešit členstvím v AAD roli Global Administrator, popř. nějaké konkrétní skupině (třeba Bonusario Administrator). Pro účely aplikace bych to transformoval na roli.
V nastavení AAD je potřeba zapnout injectování AAD-groups do tokenů (claimů), pak se to z toho čte už klasicky, např.
https://github.com/mensagymnazium/IntranetGen3/blob/460b4447355517a3a4794fc9d784f462adf600b8/Services/Security/UserOnboarder.cs#L83
Dosud jsme neřešili oprávnění jinak, než že se kontrolovalo, že je uživatel přihlášen, popř. že pracuje s vlastními záznamy.
Known issue bylo jen seedování, kdokoliv mohl pustit znovu seed, pokud šel na /admin.
Nyní se ale myslím dostáváme za hranici toho, co tam můžeme nechat bez ochrany:
EntryFacade.GetEntriesOfPeriod()vrátí všechny záznamy v periodě komukoliv přihlášenému (= přístup k chráněným datům)PeriodFacade.CreateNewPeriod()Navrhuji to pro tuto chvíli řešit členstvím v AAD roli Global Administrator, popř. nějaké konkrétní skupině (třeba Bonusario Administrator). Pro účely aplikace bych to transformoval na roli.
V nastavení AAD je potřeba zapnout injectování AAD-groups do tokenů (claimů), pak se to z toho čte už klasicky, např.
https://github.com/mensagymnazium/IntranetGen3/blob/460b4447355517a3a4794fc9d784f462adf600b8/Services/Security/UserOnboarder.cs#L83