alexdriaguine / 1dv450-registration Goto Github PK

https://github.com/rn222cx/1dv450-registration/blob/master/config/routes.rb#L11

Förslag på ändring är
resources :apps, only: [:new, :create, :destroy]

Jag klistra direkt in en issue från min egna peer review som jag fick av Singh, då du lider av samma säkerhets brist

Ett säkerhetshål i applikation som jag fick reda från min peer-review. När man varit inloggad och loggar ut och trycker på tillbaka knappen så visas sidan man tidigare var inne på. T.ex att användaren har domän sida framme (med API nycklar), loggar ut och sen lämnar datorn utan att lämna sidan eller stänga webbläsaren så kan en annan person komma åt informationen på den sidan, bara genom att testa att klicka på backa knappen.

Lösningen som jag har att erbjuda delades med mig av mv222fp/Marco30.
Det hindra cachning genom att lägga till följande i ApplicationController och lägga till data: {no_turbolink: true} i logout länken.

Länken i app/views/layouts/_header.html.erb

<%= link_to "Log out", logout_path, data: {no_turbolink: true}, class: "nav-link-right" %>
app/controllers/application_controller.rb

before_action :no_cache

def no_cache
response.headers["Cache-Control"] = "no-cache, no-store, max-age=0, must-revalidate"
response.headers["Pragma"] = "no-cache"
response.headers["Expires"] = "Fri, 09 Jan 2004 00:00:00 GMT"
end

Bra HATEOAS skapning med Serializers smidigt och snyggt.

Får 401 när jag gör en POST till https://registration-1dv450.herokuapp.com/api/pubs
Med korrekt Header och body.

JWT har nyligen blivit updaterat till 1.5.4 och JWT 1.5.3 har blivit yankat kan vara det som orsakar POST-felen.

PUT, POST, DELETE funkar ej, allt som kräver JWT-token funkar ej och get 401, som sagt innan tror jag felet ligger i JWT och inte skaparen(ad222kr) en bundle update jwt eller på något sätt updatera den yankade versionen av JWT borde lösa det.

https://rubygems.org/gems/jwt/versions/1.5.3

Whops!

https://github.com/rn222cx/1dv450-registration/blob/master/app/controllers/users_controller.rb#L37

Den här är en alternativ förändring som kommer göra dina url tillhörande apps kortare och snyggare samt minimering av kod

I routes ändra

  resources :users do
    resources :apps
  end

till

    resources :apps, only: [:new, :create, :destroy]
    resources :users, except: [:index, :destroy]

I UserController ändra rad 13 till

@apps = @user

I views/users/show.html.erb ta bort från rad 30 och neråt.
Ersätt med

      <% if @user.admin?
           args = @apps
         else
           args = @apps.apps
         end %>


      <% args.each do |app| %>
          <tr>
            <td><%= app.name %></td>
            <td><%= app.api_key %></td>
            <td><%= app.user.name %></td>
            <td><%= link_to "Remove application", app,
                            method: :delete,
                            data: {confirm: "Are you sure you want to remove this app?"} %></td>
          </tr>

      <% end %>
    </table>

  </div>
</div>

<div class="row">
  <div class="col-mod-4 text-center">
    <%= link_to "Register application", new_app_path, class: "btn btn-primary btn-lg" %>
  </div>
</div>

Nu kan user objektet tas bort i AppsController (se länk)
https://github.com/rn222cx/1dv450-registration/blob/master/app/controllers/apps_controller.rb#L11

Samt i tillhörande vyi rad 4

<%= form_for [@user, @app] do |f| %>

till

<%= form_for(@app) do |f| %>

https://github.com/rn222cx/1dv450-registration/blob/master/app/controllers/apps_controller.rb#L16#L17

De två raderna kan du få ner till en.
@app = current_user.apps.build(app_params)

Det var inga problem att få igång applikationen samt köra seeds filen. Det är snålt med kommentarer men jag hade inga problem med att förstå koden för det. Koden var talande med bra namngivningar.
Bra uppdelning av koden vad det gäller vyer och kontroller.

Det negativa finns ju såklart i issues.

Jag har inte granskat någon html eller css kod som säkerligen förmodar.

Mvh

Roy

Alla GET funkar, borde skriva i API-Doc att search_queary är Case-sensative även adress sökning, annars fint fint

När man klickar på Postman länken så öppnas det inte i postman, utan man får en readme. Går att läsa endå men svårare.

Gick smidigt med knock att hämta en custom JWT.

I UserController körs två metoder i onödan.

https://github.com/rn222cx/1dv450-registration/blob/master/app/controllers/users_controller.rb#L3#L4

Ta bort rad 3 då rad 4 räcker

För att validera inloggningen på klientsidan kan required: true läggas till i innlogningsformuläret.

      <%= f.label :email %>
      <%= f.email_field :email, required: true %>

      <%= f.label :password %>
      <%= f.password_field :password, required: true %>

Dessa rader kan städas bort i AppController.

https://github.com/rn222cx/1dv450-registration/blob/master/app/controllers/apps_controller.rb#L2#L7
https://github.com/rn222cx/1dv450-registration/blob/master/app/controllers/apps_controller.rb#L28#L30
https://github.com/rn222cx/1dv450-registration/blob/master/app/controllers/apps_controller.rb#L43#L45

Filter chain halted as :authenticate rendered or redirected

Efter mycket testande så löser bundle install jwt inte felet utan meningen ovan är vad som orsakar det.
Har ingen lösning på det än. Men det gör så att jag inte kan testa POST, PUT, DELETE