API / Détail des randos et portail

[camillemonchicourt]

Actuellement si j'ai des randos qui sont associés à un portail mais que je les interroge depuis un autre portail, j'arrive bien à y accéder.

Exemple :

• Cette rando est associée uniquement au portail 1
• Pourtant j'y accède bien depuis le portail 2 : https://www.grand-tour-ecrins.fr/trek/903480-Le-refuge-du-Chatelleret
• Et en effet si j'interroge la route de cette rando en passant le paramètre du portail 2, j'accède bien au contenu : https://geotrek-admin.ecrins-parcnational.fr/api/v2/trek/903480/?portal=2

C'est un soucis au niveau du référencement et autres, où je peux avoir des pages sur un portail non souhaité. Comme dans mon cas où sur mon portail Grand tour des Écrins, j'ai accès à toutes les pages des randos de Rando Écrins, et Google aussi.

Donc quand on appelle le détail d'une rando en spécifiant un portail au niveau de l'API, on ne devrait pas renvoyer le contenu si la rando n'est pas associée au portail spécifié.

Idem pour les autres contenus (sites Outdoor, contenus touristiques...)

[marcantoinedupre]

Concernant le référencement de contenus ne correspondant pas au portail je ne pense pas que ça soit possible. Tu peux y accéder car tu connais le couple ID + slug mais ce n'est pas le cas de Google. Et il n'y a apriori aucun lien interne qui pointerait dessus.

[camillemonchicourt]

Oui il y a peu de chances que Google y accède, en effet.
Mais dans mon cas, il les a trouvé et référencé.
C'est un cas à part, mais selon moi, c'est clairement un problème qu'une page puisse être accessible sur un site alors qu'elle n'est pas censée y être.

Clairement, pour moi, quand on interroge l'API du détail d'un objet avec un paramètre de portail et que cet objet n'est pas associé à ce portail, l'API ne devrait pas renvoyer le contenu de l'objet mais une 404.
Exemple indiqué plus haut de https://geotrek-admin.ecrins-parcnational.fr/api/v2/trek/903480/?portal=2

[babastienne]

Pas sur que ce soit un problème d'API. Si on consulte la vue détail d'un objet en renseignement directement son identifiant c'est normal que l'API le renvoi. Et d'ailleurs une vue détail ne devrait pas être filtrée, ca n'a pas vraiment de sens.

Normalement un utilisateur n'a aucune raison de tomber sur une page avec un id-slug si celle-ci n'est pas référencée quelque part. Or dans Geotrek-Rando si le portail est bien configuré alors l'URL d'une rando associée à un autre portail n'est jamais visible.

Après qu'on veuille que la page renvoi un 404 si l'objet n'est pas associé au portail je peux comprendre. Dans ce cas selon moi c'est un comportement à implémenter dans le Geotrek-Rando et pas dans l'API, car c'est GTR qui contient l'information selon laquelle l'utilisateur ne doit voir que les contenus liés à un portail spécifique. Au moment de fetch le détail d'un objet il devrait vérifier si le portail est présent sinon faire une 404. Dans tous les cas une vue détail n'a pas vraiment de raison d'être filtrée, car il s'agit d'un appel explicite au contenu.

[camillemonchicourt]

On pourrait faire gérer ça à GTR, mais ça me semble un peu lourd et complexe.

Si on interroge le détail d'une rando avec un paramètre de portail dans la requête à l'API et que cette rando est publiée mais pas associée à ce portail, je continue à penser que l'API ne devrait pas renvoyer le contenu de cette rando.