API Service Tokens haben keinen Zugriff auf die Spender

hitobito / hitobito_cevi

A hitobito wagon defining the organization hierarchy and additional features for Cevi

Other

6 stars 4 forks source link

API Service Tokens haben keinen Zugriff auf die Spender #90

Closed ThomasEllenberger closed 1 year ago

ThomasEllenberger commented 1 year ago

Umsetzung von https://github.com/cevi/hitobito_cevi/issues/98

Kann https://github.com/hitobito/hitobito_cevi/issues/78 evtl. gleich mitbehoben werden?

ToDo

[x] ServiceToken sollen optional auch Spender sehen können
- [x] Migration, um dieses Flag zu speichern
- [x] View/Controller, um das zu bearbeiten
- [x] Nur Leute, die Spender sehen können (:financials), sollen das bearbeiten können
[x] #78
- [x] lokal nachstellen
- [x] 500er beheben

ThomasEllenberger commented 1 year ago

Ich wäre für eine neue Berechtigung: Spender dieser Ebene ohne Zugriff auf Spender darunterliegender Ebenen.

Gemäss MrTinnysis müssen die Tokens jeweils nur Spender der eigenen Ebene sehen können.

nchiapol commented 1 year ago

Soweit ich das verstehe können nur Leute ServiceToken erstellen, die sich selbst auch eine Rolle mit :financials geben könnten (LayerFull). Falls das korrekt ist braucht dieses Flag keine zusätzlichen Schutz.

Allgemein scheint es mir besser nur das grundsätzliche Recht API-Keys zu erstellen zu beschränken. Wenn auch die einem Key erteilbaren Rechte von den eigenen Rollen abhängen, erhöht das wohl primär die Komplexität ohne echten Zusatznutzen.