feat(api_token): enable fin graned access rights on tokens

2023-02-28 16:33:22 +01:00 · 2023-02-28 16:33:22 +01:00 · 42e74dfc76
commit 42e74dfc76
parent 8ee13f1719
8 changed files with 126 additions and 13 deletions
--- a/app/components/profile/api_token_card_component/api_token_card_component.html.haml
+++ b/app/components/profile/api_token_card_component/api_token_card_component.html.haml
@ -6,7 +6,10 @@
  = render Dsfr::ListComponent.new do |list|
    - api_and_packed_tokens.each do |(api_token, packed_token)|
      - list.with_item do
-        = render Profile::APITokenComponent.new(api_token:, packed_token:)
+        .fr-card.fr-card--horizontal
+          .fr-card__body.width-100
+            .fr-card__content
+              = render Profile::APITokenComponent.new(api_token:, packed_token:)

  %br
  = button_to "Créer et afficher un nouveau jeton", api_tokens_path, method: :post, class: "fr-btn fr-btn--secondary"
--- a/app/components/profile/api_token_component.rb
+++ b/app/components/profile/api_token_component.rb
@ -3,4 +3,14 @@ class Profile::APITokenComponent < ApplicationComponent
    @api_token = api_token
    @packed_token = packed_token
  end
+
+  private
+
+  def procedures_to_allow_options
+    @api_token.procedures_to_allow.map { ["#{_1.id} – #{_1.libelle}", _1.id] }
+  end
+
+  def procedures_to_allow_select_options
+    { selected: @api_token.procedures_to_allow.first&.id }
+  end
 end
--- a/app/components/profile/api_token_component/api_token_component.fr.yml
+++ b/app/components/profile/api_token_component/api_token_component.fr.yml
@ -0,0 +1,6 @@
+fr:
+  allowed_full_access_html: Ce jeton a accès à <strong>toutes</strong> les démarches attachées à votre compte administrateur
+  allowed_procedures_html:
+    zero: Ce jeton n’a accès à <strong>aucune</strong> démarche
+    one: Ce jeton a accès a une démarche sélectionnée
+    other: Ce jeton a accès a %{count} démarches sélectionnées
--- a/app/components/profile/api_token_component/api_token_component.html.haml
+++ b/app/components/profile/api_token_component/api_token_component.html.haml
@ -1,15 +1,53 @@
-%p
+%h3.fr-card__title
  %b= "#{@api_token.name} "
  %span.fr-text--sm= @api_token.prefix

- if @packed_token.present?
-  .fr-text--sm{ style: "width: 80%; word-break: break-all;" }
-    - button = render Dsfr::CopyButtonComponent.new(text: @packed_token, title: "Copier le jeton dans le presse-papier", success: "Le jeton a été copié dans le presse-papier")
-    = "#{@packed_token} #{button}"
+.fr-card__desc
+  - if @packed_token.present?
+    .fr-text--sm{ style: "width: 80%; word-break: break-all;" }
+      - button = render Dsfr::CopyButtonComponent.new(text: @packed_token, title: "Copier le jeton dans le presse-papier", success: "Le jeton a été copié dans le presse-papier")
+      = "#{@packed_token} #{button}"

-  %p Pour des raisons de sécurité, il ne sera plus ré-affiché, notez-le bien.
+    %p Pour des raisons de sécurité, il ne sera plus ré-affiché, notez-le bien.

- else
-  %p Pour des raisons de sécurité, nous ne pouvons vous l’afficher que lors de sa création.
+  - else
+    %p Pour des raisons de sécurité, nous ne pouvons vous l’afficher que lors de sa création.

-= button_to "Révoquer le jeton", api_token_path(@api_token), method: :delete, class: "fr-btn fr-btn--secondary", data: { turbo_confirm: "Confirmez-vous la révocation de ce jeton ? Les applications qui l’utilisent actuellement seront bloquées." }
+  - if @api_token.full_access?
+    %p.fr-text--lg
+      = t('.allowed_full_access_html')
+  - else
+    %p.fr-text--lg
+      = t('.allowed_procedures_html', count: @api_token.allowed_procedures.size)
+
+    - if @api_token.allowed_procedures.empty?
+      = button_to "Autoriser l’accès a toutes les démarches", @api_token, method: :patch, params: { api_token: { disallow_procedure_id: '0' } }, class: "fr-btn fr-btn--secondary"
+    - else
+      %ul
+        - @api_token.allowed_procedures.each do |procedure|
+          %li.flex.justify-between.align-center
+            .truncate-80
+              = "#{procedure.id} – #{procedure.libelle}"
+            = button_to "Supprimer", @api_token, method: :patch, params: { api_token: { disallow_procedure_id: procedure.id } }, class: "fr-btn fr-btn--secondary"
+
+.fr-card__end
+  = form_for @api_token, namespace: dom_id(@api_token, :allowed_procedures), html: { class: 'form form-ds-fr-white mb-3', data: { turbo: true } } do |f|
+    = f.label :allowed_procedure_ids do
+      Autoriser l’accès seulement a des démarches choisies
+    - @api_token.allowed_procedures.each do |procedure|
+      = f.hidden_field :allowed_procedure_ids, value: procedure.id, multiple: true, id: dom_id(procedure, :allowed_procedure)
+    .flex.justify-between.align-center{ 'data-turbo-force': true }
+      = f.select :allowed_procedure_ids, procedures_to_allow_options, procedures_to_allow_select_options, { class: 'no-margin width-66 small', name: "api_token[allowed_procedure_ids][]" }
+      = f.button type: :submit, class: "fr-btn fr-btn--secondary" do
+        Ajouter
+
+  = form_for @api_token, namespace: dom_id(@api_token, :write_access), html: { class: 'form form-ds-fr-white mb-3', data: { turbo: true, controller: 'autosubmit' } } do |f|
+    = f.label :write_access do
+      Ce jeton a accès aux démarches
+    %label.toggle-switch.no-margin
+      = f.check_box :write_access, class: 'toggle-switch-checkbox'
+      %span.toggle-switch-control.round
+      %span.toggle-switch-label.on En lecture et écriture
+      %span.toggle-switch-label.off En lecture seule
+
+  = button_to "Révoquer le jeton", api_token_path(@api_token), method: :delete, class: "fr-btn fr-btn--secondary", data: { turbo_confirm: "Confirmez-vous la révocation de ce jeton ? Les applications qui l’utilisent actuellement seront bloquées." }