makabe.t
e4f84f78ba
Merged PR 121: リフレッシュトークンの発行方法・発行内容が不適切な問題の修正
## 概要
[Task1904: リフレッシュトークンの発行方法・発行内容が不適切な問題の修正](https://paruru.nds-tyo.co.jp:8443/tfs/ReciproCollection/fa4924a4-d079-4fab-9fb5-a9a11eb205f0/_workitems/edit/1904)
セキュリティ・権限管理の要であるリフレッシュトークンのロール設定に関する修正ですので、開発メンバー全員にご確認いただき、変更内容について認識を合わせていただきたいです。
- リフレッシュトークンの発行で使用するロールがクライアントから送られた値をそのまま利用する実装になっていましたので、APIのロールの取り扱いを修正しました
- ユーザー追加APIで想定している(author/typist/none)のみを受け付けるようにする
- 想定外のロールの場合は400エラー
- クライアントからも想定通りのロールを送信するようロールの定数値を修正
- リフレッシュトークンを発行する際にDBの値をそのまま使わず、想定値のどれかを判断して定数を設定する
- DBに登録されているロールが想定外の文字列の場合は500エラーとなる
## レビューポイント
- トークンのロール設定が安全にできるようになっていることをメンバー全員で合意
- APIのパラメータを受け付ける際にIsInで想定ロール文字列のみを受け付けるようにしているが問題はないか
- リフレッシュトークンの生成時に直接DBのロールを設定しないようにしたが、トークンのロール設定として問題はないか
- 意図しないトークンへの権限の付与などは起こりえないか。
- クライアントからadminなどのユーザー追加時に想定していない権限を付与しようとしてもAPIではじかれるか
## UIの変更
- なし
## 動作確認状況
- ローカルで確認
## 補足
- ユーザー追加時に登録されるロールが変更となったのでマージ後に利用する場合は再度の登録をお願いします。
2023-06-02 04:55:28 +00:00
..
2023-03-29 03:55:44 +00:00
2023-02-20 08:12:36 +00:00
2023-06-02 04:34:25 +00:00
2023-06-02 04:55:28 +00:00
2023-05-17 00:38:39 +00:00
2023-05-17 00:38:39 +00:00
2023-01-12 08:56:38 +00:00
2023-01-12 08:56:38 +00:00
2023-01-12 08:56:38 +00:00
2023-01-12 08:56:38 +00:00
2023-05-17 00:38:39 +00:00
2023-05-17 00:38:39 +00:00
2023-01-12 08:56:38 +00:00
2023-03-07 01:30:13 +00:00