Débat sur la sécurité de Directus

Bonjour tout le monde,

j’ouvre ce sujet pour avoir votre avis sur une question qui me taraude depuis hier. Directus permet de gérer les autorisations en fonction des rôles sur les collections. Cependant, je ne trouve pas que l’interface soit la plus ergonomique et je me demande aussi comment tester cela.

Venant de Firebase, j’avais l’habitude d’avoir un fichier qui gère les règles de sécurité sur les accès aux différentes ressources. Le gros avantage de cette méthode est que celle permet de faire des tests unitaires sur les règles de sécurité.

Directus permet d’ajouter des extensions et de filtrer avant les actions CRUD. J’imagine que si dans l’interface de mon Directus, je laisse toutes les collections en full access et que je filtre les interactions avec la base dans une extension alors j’obtiendrai un système encore plus fin et que je pourrai tester sans rajouter de charge sur le serveur.

A votre avis, j’ai bon dans mon raisonnement ?

Je suis d’accord avec toi : leur système actuel de droits n’est pas pratique, surtout si on commence à ajouter des droits avancés (filtres, etc.).

Par contre la solution de créer des hook sur chaque requête risque de demander du travail et de ralentir ton serveur. Et il suffit que tu en oublies 1 pour avoir des failles de sécurité.

Peut être que tu pourrait regarder du côté de l’API car il existe des endpoints pour configurer ton serveur.
Si tu trouves des endpoints pour la gestion des droits, alors tu pourrais te faire un script pour régler ces droits via un fichier