lucaa
commented
1 year ago L'objectif est que tout utilisateur qui peut accéder aux avis à partir de l'onglet des avis d'une démarche peut aussi y accéder par cette API.
En fait, ceci n'est pas tout à fait la logique correcte de cet accès: comme le service implémenté pour #1200 fourni l'accès aux données agrégées de la démarche, il n'y a pas de raison de protéger l'accès à ce service par la même règle que l'onglet des avis qui, lui, fourni l'accès aux données détaillées des avis (notamment les textes libres "verbatim" et les associations des avis). Les données agrégées des avis sont celles affichées par les liens "graphes" des observatoires. Les liens "graphes" fournissent les données pour la période de l'observatoire en question mais à priori il n'y a pas de restriction dans la logique de droits de la plateforme pour la période pour laquelle ces graphes doivent être rendues publiques. J'ai vérifié l'implémentation en prod, on peut modifier les dates dans l'URL de graphes d'une démarche dans l'observatoire et générer la vue pour toute période souhaitée.
Ainsi, la question de rôles se pose plutôt par rapport à une problématique de charge de la plateforme par le service REST, il n'y a aucune contrainte d'accès à la donnée fournie par ce service.
L'API métier ajoutée dans #1200 ne donne accès qu'aux administrateurs aux réponses des avis des démarches.
Ce ticket est pour implémenter la vérification des droits complète pour donner accès aux statistiques de réponses (impl. à base du schéma de droits de la plateforme). L'objectif est que tout utilisateur qui peut accéder aux avis à partir de l'onglet des avis d'une démarche peut aussi y accéder par cette API.