[FEATURE] Déconnecter l'utilisateur s'il utilise un refresh token avec un scope incorrect (PIX-14237)

[bpetetot]

🦄 Problème

Actuellement, si un refresh token n'appartient pas au scope de l'application, il est quand même accepté pour régénérer un access token.

🤖 Proposition

Utiliser le scope pour vérifier qu'il est le même que celui du refresh token.
Pour cela, il est nécessaire de mettre à jour la librairie ember-simple-auth en version 6.1.0 qui inclut un correctif permettant d'envoyer le scope dans le endpoint de refresh.

Pour plus de détails, voir la PR mainmatter/ember-simple-auth#2813

💯 Pour tester

⚠️ Pour réaliser ces tests, bien penser à ne pas avoir une configuration de Pix Api avec des valeurs de REFRESH_TOKEN_LIFESPAN trop petites, sinon vous aurez beaucoup de mal à pouvoir conclure quoi que ce soit. Aussi voici des valeurs conseillées pour ce test à mettre dans votre .env :

REFRESH_TOKEN_LIFESPAN_MON_PIX=7d
REFRESH_TOKEN_LIFESPAN_PIX_ORGA=7d
REFRESH_TOKEN_LIFESPAN_PIX_CERTIF=7d
REFRESH_TOKEN_LIFESPAN_PIX_ADMIN=7d

1. Se connecter sur Pix Admin (avec superadmin)

   • Copier le refresh token depuis le local storage

2. Se connecter sur Pix App (avec superadmin)

   • Remplacer le refresh token par celui de Pix App dans le local storage
   • Changer le timestamp d'access token dans le local storage avec un timestamp dans le passé pour l'expirer (ex: 1726065420825)

Vous devez être déconnecté 🎉

3. Retourner sur Pix Admin
   • Changer le timestamp d'access token dans le local storage avec un timestamp dans le passé pour l'expirer (ex: 1726065420825)

l'access token doit être correctement renouvellé (voir s'il a changé dans le local storage)

[pix-bot-github]

Une fois les applications déployées, elles seront accessibles via les liens suivants :

• App (.fr)
• App (.org)
• Orga (.fr)
• Orga (.org)
• Certif (.fr)
• Certif (.org)
• Junior
• Admin
• API
• Audit Logger

Les variables d'environnement seront accessibles via les liens suivants :

• scalingo front
• scalingo api
• scalingo audit-logger

[gitguardian]

️✅ There are no secrets present in this pull request anymore.

If these secrets were true positive and are still valid, we highly recommend you to revoke them.
Once a secret has been leaked into a git repository, you should consider it compromised, even if it was deleted immediately.
Find here more information about risks.

---

^{_{🦉 GitGuardian detects secrets in your source code to help developers and security teams secure the modern development process. You are seeing this because you or someone else with access to this repository has authorized GitGuardian to scan your pull request.}}

[er-lim]

Test en RA sur firefox :

• Scénario testé ✅
• D'autres tests de non régression... ✅
• Un scénario particulier testé :
  • se connecter sur pix-orga (donc génération token avec comme scope pix-orga)
  • enlever le champ scope du local storage et changer l'expires_at
  • un access_token est généré même sans scope. Semble OK par la rapport à la spec (voir la mention plus bas) ✅

Refresh tokens are issued to the client by the authorization server and are used to obtain a new access token when the current access token becomes invalid or expires, or to obtain additional access tokens with identical or narrower scope (access tokens may have a shorter lifetime and fewer permissions than authorized by the resource owner)

[mariannebost]

Lu et testé sur Chrome ✅

[lego-technix]

✅ Lu et testé fonctionnellement avec succès avec Firefox