[IDOR] sécurisation des urls de consultation des PASS IAE - part 1 [GEN-2405] by vincentporte · Pull Request #5446 · gip-inclusion/les-emplois

vincentporte · 2025-01-22T14:26:54Z

🤔 Pourquoi ?

les approval sont consultables à partir de leur id incrémental

Catégories changelog

PASS IAE

🍰 Comment ?

🧑‍🏭 ajout du champ public_id, uuid, unique, sur les modèles Approval
🧑‍🏭 hydratation du champ, puis passage en default uuid4

⚠️ public_id reste en null=True pour éviter un déphasage entre l'état de la base de données et django pendant les migrations.

⏭️ PR préparatoire à la #5431

🚨

Mettre à jour le CHANGELOG_breaking_changes.md > Non

xavfernandez

Dans l'idée, il faut que les tests passent sur tous les commits pour faciliter un éventuel git bisect. Donc la mise à jour des snapshots devraient être squashés avec l'ajout du champs.

xavfernandez · 2025-01-22T14:30:25Z

+            name="public_id",
+            field=uuid_field(default=None),
+        ),
+        migrations.RunPython(fill_public_id_approval, migrations.RunPython.noop, elidable=True),


Il vaut mieux mettre l'ajout de la colonne dans une migration dédiée, sans atomic=False. Sinon, si le déploiement est interrompu, ça va être pénible.

xavfernandez · 2025-01-22T14:31:21Z

+            field=uuid_field(default=None),
+        ),
+        migrations.RunPython(fill_public_id_approval, migrations.RunPython.noop, elidable=True),
+        migrations.AlterField(model_name="approval", name="public_id", field=uuid_field(default=uuid.uuid4)),


Pourquoi faire un AlterField ? Tu peux directement ajouter le champs avec son default=uuid.uuid4.

je vérifie, mais lors des premiers essais, avec un default=uuid.uuid4, la migration appliquait la même valeur d'uuid sur toutes les lignes, et cassait la contrainte d'unicité.

Effectivement, il faut bien faire un AddField(..., default=None, ...) suivi d'un AlterField(..., default=uuid.uuid4, ...) 😞

xavfernandez · 2025-01-22T15:11:46Z

        verbose_name="identifiant public",
        help_text="identifiant opaque, pour les API et les URLs publiques",
-        default=None,
+        default=uuid.uuid4,


J'aurais mis cette modif dans le 1er commit (avec une migration enchaînant AddField & AlterField), mais ça marche aussi comme cela :)

vincentporte self-assigned this Jan 22, 2025

vincentporte added the modifié Modifié dans le changelog. label Jan 22, 2025

vincentporte mentioned this pull request Jan 22, 2025

[IDOR] sécurisation des urls de consultation des PASS IAE - part 2 [GEN-2405] #5431

Merged

xavfernandez reviewed Jan 22, 2025

View reviewed changes

add public_id to Approval Model

e7c4ff1

vincentporte force-pushed the vp/idor_approvals_part1 branch from 0d9a3e5 to 20c311e Compare January 22, 2025 15:02

vincentporte requested review from tonial and xavfernandez January 22, 2025 15:03

populate public_id and set uuid4 as default in Approval Model

df34895

vincentporte force-pushed the vp/idor_approvals_part1 branch from 20c311e to df34895 Compare January 22, 2025 15:09

xavfernandez approved these changes Jan 22, 2025

View reviewed changes

vincentporte added this pull request to the merge queue Jan 22, 2025

Merged via the queue into master with commit 3bbf119 Jan 22, 2025

vincentporte deleted the vp/idor_approvals_part1 branch January 22, 2025 15:35

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

[IDOR] sécurisation des urls de consultation des PASS IAE - part 1 [GEN-2405]#5446

[IDOR] sécurisation des urls de consultation des PASS IAE - part 1 [GEN-2405]#5446
vincentporte merged 2 commits into
masterfrom
vp/idor_approvals_part1

vincentporte commented Jan 22, 2025 •

edited

Loading

Uh oh!

xavfernandez left a comment

Uh oh!

xavfernandez Jan 22, 2025

Uh oh!

xavfernandez Jan 22, 2025

Uh oh!

vincentporte Jan 22, 2025

Uh oh!

xavfernandez Jan 22, 2025 •

edited

Loading

Uh oh!

xavfernandez Jan 22, 2025

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

2 participants

Conversation

vincentporte commented Jan 22, 2025 • edited Loading Uh oh! There was an error while loading. Please reload this page.

Uh oh!

🤔 Pourquoi ?

Catégories changelog

🍰 Comment ?

🚨

Uh oh!

xavfernandez left a comment

Choose a reason for hiding this comment

Uh oh!

xavfernandez Jan 22, 2025

Choose a reason for hiding this comment

Uh oh!

xavfernandez Jan 22, 2025

Choose a reason for hiding this comment

Uh oh!

vincentporte Jan 22, 2025

Choose a reason for hiding this comment

Uh oh!

xavfernandez Jan 22, 2025 • edited Loading Uh oh! There was an error while loading. Please reload this page.

Uh oh!

Choose a reason for hiding this comment

Uh oh!

xavfernandez Jan 22, 2025

Choose a reason for hiding this comment

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

2 participants

vincentporte commented Jan 22, 2025 •

edited

Loading

xavfernandez Jan 22, 2025 •

edited

Loading