Запрос DELETE для организаций не требует токена авторизации - PullRequest
Новая
       41

Запрос DELETE для организаций не требует токена авторизации

0 голосов
/ 10 октября 2019

Я заметил, когда вы собираетесь удалить организацию, предлагаемый запрос в document это (подраздел УДАЛЕНИЕ ОРГАНИЗАЦИИ внутри ОРГАНИЗАЦИЯ CRUD ACTIONS ): 

curl -iX DELETE \
  'http://localhost:3005/v1/organizations/{{organization-id}}' \
  -H 'Content-Type: application/json' \

Который не включает X-Auth-token как часть заголовка.

Может ли это привести к проблеме безопасности (позволяющей любому удалить любую организацию)?

1 Ответ

1 голос
/ 11 октября 2019

Команда для удаления организации в указанном документе является неполной. 

curl -iX DELETE \
  'http://localhost:3005/v1/organizations/{{organization-id}}' \
  -H 'Content-Type: application/json' \

X-Auth-Token в вышеупомянутой команде отсутствует, без X-Auth-Token никто не сможет удалить организацию или выполнить какие-либо другие операции.

Команда без X-Auth-Token будет иметь следующий ответ: 

{
    "error": {
        "message": "Expecting to find X-Auth-token in requests",
        "code": 400,
        "title": "Bad Request"
    }
}

Правильная команда будет иметь X-Auth-Token в заголовке: 

curl -iX DELETE \
      'http://localhost:3005/v1/organizations/{{organization-id}}' \
      -H 'Content-Type: application/json' \
      -H 'X-Auth-Token: {{X-Auth-Token}}

указанная выше команда (с X-Auth-Token) будетесть ответ с Http Status HTTP/1.1 204 No Content

Снимок экрана:
response
response

...