Sikre henting av user data fra register/AM-API #1147
Labels
Frontend
This is a frontend task
status/draft
Status: When you create an issue before you have enough info to properly describe the issue.
Comments
sonwit
added
Frontend
allinox
changed the title
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Beskrivelse
Mulig løsning
Bruke annet backend-API for å hente bruker
Backend vil få et API som vil nekte å gi informasjon om en guid-identifisert bruker dersom de ikke er rightholder for den som spør.
Problem: For nye brukere som skal gis rettigheter men ikke har fått dem enda så vil ikke dette gå med mindre det opprettes et forhold uten delegeringer i backend.
Sikre Register-APIet i BFF ved GUID-signering
Dersom det er en ny bruker som skal legges til så må vi bruke det "åpne" registerAPIet for å hente dataen deres, siden AM-APIet vil da avslå kallet. Dermed må vi sikre dette APIet i BFFen før vi tar det i bruk.
Sikring gjøres ved å signere GUIden til bruker i det de fyller inn fnr og etternavn-kombinasjon.
Kaller da til BFF som sjekker at disse matcher og så signerer guid-en til matchende bruker (eier av fnr og etternavn) sammen med GUID til den de representerer og det er da dette som returneres til react og puttes i urlen.
Kall for å hente bruker på ny side vil da gjøres basert på denne signerte GUIDen slik at BFFen først vil sjekke om signeringen er gyldig (hvis det er en signert GUID den får og ikke bare en vanlig GUID) og kun hvis det er det så vil den kalle videre til Register.
Kall til BFF med vanlig GUID vil bare bruke vanlig AM-API som vil avslå om ikke allerede er en rightholder.
To do's
The text was updated successfully, but these errors were encountered: