L'API qui permet de récupérer les éléments a des règles de protection qui sont en dur dans le code, et qu'il faudrait rendre configurable.
Ces règles sont dans le fichier ApiController
// allow ajax request from same host
if ($request->isXmlHttpRequest() && $this->requestFromSameHost($request))
{
$isAdmin = $this->isUserAdmin();
$includeContact = true;
}
else if ($token) // otherwise API is protected by user token
{
$user = $em->getRepository('BiopenCoreBundle:User')->findOneByToken($token);
if (!$user) return new Response("The token you provided does not correspond to any existing user. Please visit " . $this->generateUrl('biopen_api_ui', [], UrlGeneratorInterface::ABSOLUTE_URL));
$isAdmin = false;
$includeContact = false;
}
else
{
return new Response("You need to provide a token to access to this API. Please visit " . $this->generateUrl('biopen_api_ui', [], UrlGeneratorInterface::ABSOLUTE_URL));
}
En gros ça distingue deux cas :
L'API à usage privée, utilisée par gogocartoJs pour récupérer les données. (isXmlHttpRequest() = requête ajax). Dans cette API on envoi les contacts, et si l'utilisateur est Admin on envoi aussi l'historique de chaque fiche etc...
L'API à usage public, utilisable grâce à un token (qui est généré pour chaque utilisateur, voir https://presdecheznous.fr/api/
L'idée serait de rendre ça configurable, pour choisir
Si l'on veut protéger l'api par un token
Si on autorise des domaines externes à accéder à l'API via des requetes ajax
Si l'on transmet les contacts à travers l'api publique
etc..
Pour le 2., il faut utiliser le header suivant pour autoriser les domaines distants :
$result->headers->set('Access-Control-Allow-Origin', 'http://mydomain.fr');
On peut utiliser une wildcard (*) pour autoriser tout les domaines
L'API qui permet de récupérer les éléments a des règles de protection qui sont en dur dans le code, et qu'il faudrait rendre configurable.
Ces règles sont dans le fichier ApiController
En gros ça distingue deux cas :
L'idée serait de rendre ça configurable, pour choisir
Pour le 2., il faut utiliser le header suivant pour autoriser les domaines distants :
$result->headers->set('Access-Control-Allow-Origin', 'http://mydomain.fr');On peut utiliser une wildcard (*) pour autoriser tout les domainesLe code qui permet de générer cette page https://presdecheznous.fr/api/ est dans ApiController::apiUiAction