fix(api-users): users endpoint expect read:user:list feature
#494
Conversation
|
@aprendendofelipe is attempting to deploy a commit to the TabNews Team on Vercel. To accomplish this, @aprendendofelipe needs to request access to the Team. Afterwards, an owner of the Team is required to accept their membership request. If you're already a member of the respective Vercel Team, make sure that your Personal Vercel Account is connected to your GitHub account. |
| beforeEach(async () => { | ||
| defaultUser = await orchestrator.createUser(); | ||
| defaultUser = await orchestrator.activateUser(defaultUser); | ||
| privilegedUser = await orchestrator.createUser(); | ||
| privilegedUser = await orchestrator.activateUser(privilegedUser); | ||
| privilegedUser = await orchestrator.addFeaturesToUser(privilegedUser, ['read:user:list']); | ||
| }); |
There was a problem hiding this comment.
Zero impacto nesse caso, mas uma coisa que eu me peguei pensando no passado que queria compartilhar foi o tradeoff entre performance (de criar esses usuários mesmo em testes onde eles não são usados), legibilidade (há uma distância maior entre a declaração e uso das variáveis, mas talvez o maior problema seja quando houver dois privilegedUser com features diferentes, e daí a criação deles vai estar num contexto longe do uso) e que está casado com refatoração (ta tudo num só lugar, delicinha).
Não mudaria nada, mas só queria compartilhar esse pensamento 🤝
|
Muito massa por ter respeitado o padrão:
🤝 |
aprendendofelipe
force-pushed
the
protect-users-endpoint
branch
from
5636dce
to
77f78e6
Compare
|
The latest updates on your projects. Learn more about Vercel for Git ↗︎
|
|
Merged! Let's goooooo!!! |
Corrige o problema de segurança no endpoint
api/v1/usersque estava listando todos os usuários e suas propriedades sem exigir a featureread:user:liste nem mesmo estava exigindo sessão de usuário ativa.Problema relacionado com #186 (comment)