Suite au thread sur l’inscription d’un nouvel utilisateur côté front, j’aimerais pouvoir (en front) changer le mot de passe qui a été généré après avoir lancer l’action “resetPassword” associé à l’objet User,
comme prévu sur la version UI (voir ci dessous)
Ouvrir des fonctionnalités de manipulation des utilisateurs et de leurs passwords à un user “technique” public du frontend est un ANTIPATTERN absolu, car c’est forcément la porte grande ouverte à toutes sortes d’attaques malveillantes !
La bonne approche c’est plutôt, comme suggéré dans un autre post, d’utiliser un objet user custom (i.e. qui hérite de SimpleUser) dans lequel vous mettez en place une stratégie de création et de mise à jour du password uniquement coté backend (ex: via un attribut non persistant qui est utilisé en backend pour manipuler le vrai password).
Cet objet doit être autorisé uniquement en création au user technique du frontend (la lecture étant restreinte dans ce cas par une search spec non passante type 1=2), et il est uniquement en update pour l’utilisateur lui même (et avec un search spec qui le restreint à son seul record).
PS: et bien entendu les users frontend ainsi créés doivent être de type “webservices only” pour ne pas avoir droit de se connecter à la UI standard (sauf si ce type d’accès est légitime)
