Require Authorization for Write Ops, eller "Autentisering och behörighetscheckar" #10
Description
Requirement (en)
The Konfigurator API endpoints need to restrict write operations to users with the appropriate authorization to hold off malicious agents.
Lösningsförslag (sv)
Auth0 tillhandahåller det mesta inom användarhantering, roller och behörigheter. Det som behöver göras på vår sida är att a) hantera konfiguration av hemligheter för en Auth0-tenant, b) skicka över oautentiserade användare till vår tenant innan de får access, c) lägga till några Policy Enforcement Points ("PEP:par") i backend för att kontrollera att användarens biljett/JWT innehåller en "admin"-behörighet utfärdad för vår audiens. Uppdelning i betrodda eller icke-betrodda användare räcker för v1.0-scopet.
Nedbrytning i konkreta aktiviteter:
- Skapa en konfigurator.eu.auth0.com-tenant
- Lägg till stöd för JWT-checkar enl. best practice inom NestJS
- Dekorera API-gränssnitt för POST/PUT/DELETE med krav på en "write"-behörighet