[Authentification] ajout de Cerbère #1388

thoomasbro · 2024-05-22T08:47:27Z

update env var passed to docker compose test

backend/src/main/kotlin/fr/gouv/cacem/monitorenv/config/OIDCProperties.kt

claire2212 · 2024-06-10T09:30:04Z

.../fr/gouv/cacem/monitorenv/infrastructure/api/endpoints/security/MutableHttpServletRequest.kt

+            // add the names of the request headers into the list
+            val n = e.nextElement()
+            set.add(n)
+        }


c'est possible de remplacer les variables e et n par des noms un peu plus explicites?

oui. C'est une copie du code de fish.

.../gouv/cacem/monitorenv/infrastructure/api/endpoints/security/UserAuthorizationCheckFilter.kt

backend/src/test/resources/application.properties

claire2212 · 2024-06-10T09:38:34Z

frontend/index.html

@@ -2,10 +2,11 @@
 <html lang="fr">
  <head>
    <meta charset="utf-8" />
+    <link rel="preload" as="image" href="landing_background.png">


penser à la remplacer? Ajouter un TODO ?

frontend/src/pages/Login.tsx

claire2212 · 2024-06-10T12:29:18Z

frontend/src/ui/LoadingSpinnerWall.tsx

+  return (
+    <Wrapper data-cy="first-loader">
+      <FulfillingBouncingCircleSpinner className="update-vessels" color={THEME.color.lightGray} size={48} />
+      {isVesselShowed && <Icon.Vessel />}


petit détail à voir avec Adeline aussi pour l'icône

claire2212 · 2024-06-10T12:29:59Z

infra/.env.example

+
+################################################################################
+# MonitorFish
+MONITORFISH_API_KEY=""


on en a plus besoin de celui-ci normalement

les api publiques de MonitorFish ont toujours besoin d'une clé, que MonitorEnv soit cerberisé ou non.

backend/src/main/kotlin/fr/gouv/cacem/monitorenv/config/SecurityConfig.kt

maximeperraultdev · 2024-06-11T12:38:19Z

backend/src/main/kotlin/fr/gouv/cacem/monitorenv/config/SecurityConfig.kt

+                        "/error",
+                        "/api/**",
+                        "/version",
+                        // TODO: secure SSE endpoints


todo: tu comptais le faire dans cette PR ou un autre ticket est existant ?

il faut le faire dans une autre PR car c'est pas si évident. EventSource ne permet pas de passer les headers, mais pourrait passer correctement les cookies. Donc soit on change le back pour faire une sécu via cookies plutot que headers, soit on doit changer l'implem de EventSource coté client.

maximeperraultdev · 2024-06-11T13:30:46Z

backend/src/main/kotlin/fr/gouv/cacem/monitorenv/config/ProtectedPathsAPIProperties.kt

+import org.springframework.boot.context.properties.ConfigurationProperties
+import org.springframework.stereotype.Component
+
+@Component


Suggested change

@Component

@Configuration

maximeperraultdev · 2024-06-11T13:36:39Z

...src/main/kotlin/fr/gouv/cacem/monitorenv/domain/use_cases/authorization/GetAuthorizedUser.kt

+
+        return try {
+            userAuthorizationRepository.findByHashedEmail(hashedEmail)
+        } catch (e: Throwable) {


question: as-tu une raison particulière de catch les Error ?

Effectivement, autoriser un type null en sortie de findByHashedEmail serait plus propre pour distinguer les erreurs de db du cas où juste l'utilisateur n'est pas en base.

maximeperraultdev · 2024-06-11T13:37:58Z

...src/main/kotlin/fr/gouv/cacem/monitorenv/domain/use_cases/authorization/GetAuthorizedUser.kt

+        return try {
+            userAuthorizationRepository.findByHashedEmail(hashedEmail)
+        } catch (e: Throwable) {
+            logger.info("User $hashedEmail not found, defaulting to super-user=false")


question: On laisse les utilisateurs anonymes en lecture seule, si je comprends bien

backend/src/test/resources/application.properties

maximeperraultdev · 2024-06-11T15:01:27Z

frontend/public/landing_background.png

question: Y-a-t'il moyen d'avoir une image plus légère ?

maximeperraultdev · 2024-06-11T15:07:16Z

frontend/src/components/RequireAuth.tsx

+  const auth = useAuth()
+  const { data: user } = useGetCurrentUserAuthorizationQueryOverride(undefined, { skip: !auth?.isAuthenticated })
+
+  if (!oidcConfig.IS_OIDC_ENABLED) {


suggestion: un peu de refacto des conditions, sinon je m'y perds un peu. Qu'en penses-tu ?

Suggested change

if (!oidcConfig.IS_OIDC_ENABLED) {

if (!oidcConfig.IS_OIDC_ENABLED) {

return children;

}

if (!auth.isAuthenticated) {

return handleRedirect("/login", redirect);

}

if (requireSuperUser && !user?.isSuperUser) {

return handleRedirect("/register", redirect);

}

return children;

}

const handleRedirect = (path, redirect) => {

if (redirect) {

return <Navigate replace to={path} />;

}

return null;

}

frontend/src/pages/Login.tsx

frontend/src/features/Account/components/Account.tsx

thoomasbro force-pushed the thomas/ajout-cerbere branch 2 times, most recently from 18c437c to 11a611a Compare June 6, 2024 13:13

thoomasbro added 2 commits June 6, 2024 17:32

add oauth packages + clean

f0bac62

authentication + authorization backend

b8c1878

thoomasbro force-pushed the thomas/ajout-cerbere branch from e21d133 to 06fdc80 Compare June 6, 2024 15:32

thoomasbro added 8 commits June 6, 2024 17:44

add test env keycloak

46c22e7

auth + protected routes

2d6f01c

add correlationId + fix some error + add register route

a32a39a

rebase

e4ee994

RequireAuth with requireSuperUser & redirect props

f61484a

add useGetCurrentUserAuthorizationQueryOverride

57542c9

no auth on SSE endpoints

d8b2ab2

fix env

e66f18e

update env var passed to docker compose test

thoomasbro force-pushed the thomas/ajout-cerbere branch from 06fdc80 to e66f18e Compare June 6, 2024 15:45