ScoDoc/tests/api/test_api_permissions.py

# -*- coding: utf-8 -*-

"""Test permissions

    On a deux utilisateurs dans la base test API: 
     - "test", avec le rôle LecteurAPI qui a la permission ScoView, 
     - et "other", qui n'a aucune permission.


    Lancer :
        pytest tests/api/test_api_permissions.py
"""

import requests

from tests.api.setup_test_api import API_URL, SCODOC_URL, CHECK_CERTIFICATE, api_headers

from app import create_app
from app.scodoc import sco_utils as scu
from config import RunningConfig


def test_permissions(api_headers):
    """
    vérification de la permissions ScoView et du non accès sans role
    de toutes les routes de l'API
    """
    # Ce test va récupérer toutes les routes de l'API
    app = create_app(RunningConfig)
    assert app
    # Les routes de l'API avec GET, excluant les logos pour le moment XXX
    api_rules = [
        r
        for r in app.url_map.iter_rules()
        if str(r).startswith("/ScoDoc/api")
        and "logo" not in str(r)  # ignore logos
        and "absence" not in str(r)  # ignore absences
        and "GET" in r.methods
    ]
    assert len(api_rules) > 0
    all_args = {
        "acronym": "TAPI",
        "code_type": "etudid",
        "code": 1,
        "dept_id": 1,
        "dept_ident": "TAPI",
        "dept": "TAPI",
        "etape_apo": "???",
        "etat": "I",
        "etudid": 1,
        "evaluation_id": 1,
        "formation_id": 1,
        "formsemestre_id": 1,
        "group_id": 1,
        "ine": "INE1",
        "module_id": 1,
        "moduleimpl_id": 1,
        "nip": 1,
        "partition_id": 1,
        "role_name": "Ens",
        "start": "abc",
        "uid": 1,
        "validation_id": 1,
        "version": "long",
        "assiduite_id": 1,
        "justif_id": 1,
        "etudids": "1",
    }
    # Arguments spécifiques pour certaines routes
    # par défaut, on passe tous les arguments de all_args
    endpoint_args = {
        "api.formsemestres_query": {},
    }
    for rule in api_rules:
        args = endpoint_args.get(rule.endpoint, all_args)
        path = rule.build(args)[1]
        if not "GET" in rule.methods:
            # skip all POST routes
            continue

        if any(
            path.startswith(p)
            for p in [
                "/ScoDoc/api/justificatif/1/list",
                "/ScoDoc/api/justificatif/1/justifies",
            ]
        ):
            # On passe la route "api/justificatif/<>/list" car elle nécessite la permission AbsJustifView
            # On passe la route "api/justificatif/<>/justifies" car elle nécessite la permission ScoJustifChange
            continue

        r = requests.get(
            SCODOC_URL + path,
            headers=api_headers,
            verify=CHECK_CERTIFICATE,
            timeout=scu.SCO_TEST_API_TIMEOUT,
        )
        assert r.status_code == 200

    # Même chose sans le jeton:
    for rule in api_rules:
        path = rule.build(args)[1]
        if not "GET" in rule.methods:
            # skip all POST routes
            continue
        r = requests.get(
            SCODOC_URL + path,
            verify=CHECK_CERTIFICATE,
            timeout=scu.SCO_TEST_API_TIMEOUT,
        )
        assert r.status_code == 401

    # Demande un jeton pour "other"
    r = requests.post(
        API_URL + "/tokens", auth=("other", "other"), timeout=scu.SCO_TEST_API_TIMEOUT
    )
    assert r.status_code == 200
    token = r.json()["token"]
    headers = {"Authorization": f"Bearer {token}"}
    # Vérifie que tout est interdit
    for rule in api_rules:
        path = rule.build(args)[1]
        if not "GET" in rule.methods:
            # skip all POST routes
            continue
        r = requests.get(
            SCODOC_URL + path,
            headers=headers,
            verify=CHECK_CERTIFICATE,
            timeout=scu.SCO_TEST_API_TIMEOUT,
        )
        assert r.status_code == 401
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`# -- coding: utf-8 --`

			`"""Test permissions`

			`On a deux utilisateurs dans la base test API:`
Modification contrôle d'accès. Routes API basic+token. Revision routes API. 2022-07-27 16:03:14 +02:00			`- "test", avec le rôle LecteurAPI qui a la permission ScoView,`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`- et "other", qui n'a aucune permission.`


			`Lancer :`
			`pytest tests/api/test_api_permissions.py`
			`"""`

			`import requests`

			`from tests.api.setup_test_api import API_URL, SCODOC_URL, CHECK_CERTIFICATE, api_headers`

			`from app import create_app`
Ajout de timeouts sur toutes les requêtes externes (y compris tests API) 2023-04-06 10:38:31 +02:00			`from app.scodoc import sco_utils as scu`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`from config import RunningConfig`


			`def test_permissions(api_headers):`
			`"""`
Modification contrôle d'accès. Routes API basic+token. Revision routes API. 2022-07-27 16:03:14 +02:00			`vérification de la permissions ScoView et du non accès sans role`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`de toutes les routes de l'API`
			`"""`
			`# Ce test va récupérer toutes les routes de l'API`
			`app = create_app(RunningConfig)`
			`assert app`
ajout des docstring des fonctions de test 2022-05-06 16:05:34 +02:00			`# Les routes de l'API avec GET, excluant les logos pour le moment XXX`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`api_rules = [`
			`r`
			`for r in app.url_map.iter_rules()`
			`if str(r).startswith("/ScoDoc/api")`
API: bulletins: re-ecriture et format json classic avec matières (long_mat, short_mat). 2022-11-27 23:31:48 +01:00			`and "logo" not in str(r) # ignore logos`
			`and "absence" not in str(r) # ignore absences`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`and "GET" in r.methods`
			`]`
			`assert len(api_rules) > 0`
- API: added POST etudiant/etudid/int:etudid/photo - API: added unit tests for photos - Photos: code cleaning. 2023-08-11 23:15:17 +02:00			`all_args = {`
API: modif formsemestre/etudiant. TESTS unitaires OK sauf logos. 2022-08-08 10:06:42 +02:00			`"acronym": "TAPI",`
API: bulletins: re-ecriture et format json classic avec matières (long_mat, short_mat). 2022-11-27 23:31:48 +01:00			`"code_type": "etudid",`
			`"code": 1,`
merge du master + ajout de abs_group_etat + ajout de test pour departements et etudiants 2022-05-09 16:26:23 +02:00			`"dept_id": 1,`
API: modif formsemestre/etudiant. TESTS unitaires OK sauf logos. 2022-08-08 10:06:42 +02:00			`"dept_ident": "TAPI",`
			`"dept": "TAPI",`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`"etape_apo": "???",`
			`"etat": "I",`
API: modif formsemestre/etudiant. TESTS unitaires OK sauf logos. 2022-08-08 10:06:42 +02:00			`"etudid": 1,`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`"evaluation_id": 1,`
			`"formation_id": 1,`
			`"formsemestre_id": 1,`
			`"group_id": 1,`
API: diverses corrections, tests unitaires (sauf absences et logos). 2022-07-29 16:19:40 +02:00			`"ine": "INE1",`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`"module_id": 1,`
			`"moduleimpl_id": 1,`
			`"nip": 1,`
			`"partition_id": 1,`
API: modif formsemestre/etudiant. TESTS unitaires OK sauf logos. 2022-08-08 10:06:42 +02:00			`"role_name": "Ens",`
- Amélioration enregistrement note. - Nouveau point API: /evaluation/<int:evaluation_id>/notes/set - Corrige API /evaluation/<int:evaluation_id>/notes - Modernisation de code. - Améliore tests unitaires APi evaluation. 2023-06-03 22:43:04 +02:00			`"start": "abc",`
API: modif formsemestre/etudiant. TESTS unitaires OK sauf logos. 2022-08-08 10:06:42 +02:00			`"uid": 1,`
Database creation: add unaccent postgresql extension. Tests unitaires OK. 2023-06-20 07:51:40 +02:00			`"validation_id": 1,`
API: bulletins: re-ecriture et format json classic avec matières (long_mat, short_mat). 2022-11-27 23:31:48 +01:00			`"version": "long",`
Assiduités : Ajout des tests (Unit/API) 2023-04-17 15:39:32 +02:00			`"assiduite_id": 1,`
			`"justif_id": 1,`
			`"etudids": "1",`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`}`
- API: added POST etudiant/etudid/int:etudid/photo - API: added unit tests for photos - Photos: code cleaning. 2023-08-11 23:15:17 +02:00			`# Arguments spécifiques pour certaines routes`
			`# par défaut, on passe tous les arguments de all_args`
			`endpoint_args = {`
			`"api.formsemestres_query": {},`
			`}`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`for rule in api_rules:`
- API: added POST etudiant/etudid/int:etudid/photo - API: added unit tests for photos - Photos: code cleaning. 2023-08-11 23:15:17 +02:00			`args = endpoint_args.get(rule.endpoint, all_args)`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`path = rule.build(args)[1]`
			`if not "GET" in rule.methods:`
			`# skip all POST routes`
			`continue`
Assiduites : Tests + Fixes + Améliorations 2023-07-04 15:04:58 +02:00
			`if any(`
			`path.startswith(p)`
			`for p in [`
			`"/ScoDoc/api/justificatif/1/list",`
			`"/ScoDoc/api/justificatif/1/justifies",`
			`]`
			`):`
Configuration: éditeur de rôles et permissions 2023-09-29 21:17:31 +02:00			`# On passe la route "api/justificatif/<>/list" car elle nécessite la permission AbsJustifView`
Assiduites : Tests + Fixes + Améliorations 2023-07-04 15:04:58 +02:00			`# On passe la route "api/justificatif/<>/justifies" car elle nécessite la permission ScoJustifChange`
			`continue`

API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`r = requests.get(`
			`SCODOC_URL + path,`
			`headers=api_headers,`
			`verify=CHECK_CERTIFICATE,`
Ajout de timeouts sur toutes les requêtes externes (y compris tests API) 2023-04-06 10:38:31 +02:00			`timeout=scu.SCO_TEST_API_TIMEOUT,`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`)`
			`assert r.status_code == 200`

			`# Même chose sans le jeton:`
			`for rule in api_rules:`
			`path = rule.build(args)[1]`
			`if not "GET" in rule.methods:`
			`# skip all POST routes`
			`continue`
			`r = requests.get(`
			`SCODOC_URL + path,`
			`verify=CHECK_CERTIFICATE,`
Ajout de timeouts sur toutes les requêtes externes (y compris tests API) 2023-04-06 10:38:31 +02:00			`timeout=scu.SCO_TEST_API_TIMEOUT,`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`)`
			`assert r.status_code == 401`

			`# Demande un jeton pour "other"`
Génère JSON avec Flask-JSON. Abandonne jsonify. 2023-04-06 16:10:32 +02:00			`r = requests.post(`
			`API_URL + "/tokens", auth=("other", "other"), timeout=scu.SCO_TEST_API_TIMEOUT`
			`)`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`assert r.status_code == 200`
			`token = r.json()["token"]`
			`headers = {"Authorization": f"Bearer {token}"}`
			`# Vérifie que tout est interdit`
			`for rule in api_rules:`
			`path = rule.build(args)[1]`
			`if not "GET" in rule.methods:`
			`# skip all POST routes`
			`continue`
			`r = requests.get(`
			`SCODOC_URL + path,`
			`headers=headers,`
			`verify=CHECK_CERTIFICATE,`
Ajout de timeouts sur toutes les requêtes externes (y compris tests API) 2023-04-06 10:38:31 +02:00			`timeout=scu.SCO_TEST_API_TIMEOUT,`
API: test des permissions de toutes les routes GET (sauf logos) 2022-05-04 23:12:03 +02:00			`)`
API: modif formsemestre/etudiant. TESTS unitaires OK sauf logos. 2022-08-08 10:06:42 +02:00			`assert r.status_code == 401`