Login-handling and role-based resource access control

[jvanf]

closes #68 #69 #70

[jvanf]

@frickerg @g0tcoffee

im Ticket #68 wird beschrieben, dass "Manage Cards"-Link für "Player"-Rollen auszublenden sei allerdings muss das Routing nicht unterbunden werden.

muss nicht aber darf? mit diesem PR, wird mithilfe der PrivateRoute Komponente das Routing unterbunden und Ben wird im Frontend die Manage Cards Fläche für den Player ausblenden. Nach mir wäre das mit dem PrivateRoute dann ein freiwilliger Zusatzaufwand aber nicht falsch..

Korrekt? einverstanden/einwände?

Auch hier eine weitere Phrase die ich gefunden habe und wiedersprüchlich halte: "Cards nur laden, wenn Benutzer Rolle "Admin" hat. Im UI ausblenden, sowie API via Access-Token schützen." Also die Karten müssen schon geladen bzw. gefetched werden egal ob 'admin' oder 'player' angemeldet ist aber man darf die Detail-Ansicht (ManageCards) nur als admin erreichen. Richtig?

Sorry, eventuell bin ich zu müde aber iwie finde ich seine Aussagen teilweise sehr wiedersprüchlich :laughing:

[jvanf]

Ebenfalls etwas für das Augenmerk:

localstorage verwendung an mehreren orten da eventuell besser zum testen..

• index.ts
• AuthContex

Access Controll ist nun komplett implementiert und bedeuted muss gegen die specs geprüft werden. ich finde das ist es aber wäre nicht schnlecht wenn man dies ebenfalls gegenprüft...

[g0tcoffee]

@jvanf @frickerg

Wegen PrivateRoute Komponente / Manage-Cards-Link für Player-Rollen ausblenden: Bin einverstanden mit dem Vorgehen. Wenn ich das richtig erinnere, wurde die Anforderung mit der Spefizikation "Routing kann bestehen bleiben" im Unterricht extra so gestellt, weil es sonst zu viel für den Rahmen des Projekts wäre.

Wegen Cards nur laden, wenn Benutzer Rolle "Admin" hat etc.:

Also die Karten müssen schon geladen bzw. gefetched werden egal ob 'admin' oder 'player' angemeldet ist aber man darf die Detail-Ansicht (ManageCards) nur als admin erreichen. Richtig?

Ich bin auch ein bisschen verwirrt. Die Karten sollen nur bei angemeldetem Admin geladen werden und nicht beim Player, der darf nur das Game starten / spielen / beenden- aber der Game Context lädt die Karten ja im State. Darum gehe ich auch davon aus und stimme dir zu: Cards initial laden / fetchen und Zugriff auf Cards vor allen schützen, die keine eingeloggten Admins sind durch Access Token seitens API und UI ausblenden seitens UI (und PrivateRoute Komponente als optionale Extrameile). Die Logik gliedert sich auch in den Entwurf der Beispiel-Architektur auf F5 (Projekt 2 Architektur) ein.

[g0tcoffee]

Sieht gut aus!

**Anforderungen aus #68

• [x] Aktuellen Benutzer in der App-Bar anzeigen
  • [x] "Manage Cards"-Link für "Player"-Rollen ausblenden.
  • [x] Routing muss nicht unterbunden werden
  • [x] "Log out"-Button löscht alle Daten aus Context (initial state) und Access-Token aus localStorage
  • [x] Nicht mittels "window.location" oder Refresh der App zurücksetzen, sondern sauber via Actions und Reducer

**Anforderungen aus #69

• [x] Wenn kein Access-Token vorhanden ist, wird das Login-Formular angezeigt
  • [x] Achtung: Nicht nur auf Root ("/"), sondern allen Pfaden (z.B. "/cards")
• [x] Passwort-Input versteckt Klartext
  • [x]
• [x] Fehlermeldung, wenn Login nicht erfolgreich ist
  • [x] kein "alert()" verwenden

Anforderungen aus #70

• [x] Nur Access-Token nötig, kein Refresh-Token implementieren
  • [x] Lange Gültigkeit des Tokens setzen (z.B. 24h)
  • [x] Handling für abgelaufene Tokens muss nicht implementiert werden
  • [x] "exp", "iat" im Frontend nicht beachten
• [x] Access-Token für Neuladen der App in localStorage ablegen
  • [x] Nur beim Initialisieren der App aus localStorage laden
  • [x] Tipp: direkt im "InitialState" setzen oder via useEffect/dispatch holen und setzen
• [x] Access-Token mit jedem Request (ausser Login) im Header mitschicken

Einen Käfer habe ich gefunden - denke, der ist jedoch nicht im Rahmen unseres Projekts.

• als player einloggen
• manuell zu /api/cards und danach zu / navigieren
• Button Start New Game wirft Fehler ((Async: promise callback) main.tsx 7 helper.ts 32 StartNewGamePage.tsx 15) und HTTP Status 500
• ausloggen
• danach als einer der user einzuloggen, klappt nicht mehr ([vite] http proxy error at /api/login: AggregateError [ECONNREFUSED]: at internalConnectMultiple (node:net:1117:18) at afterConnectMultiple (node:net:1684:7))