Tests zur Ueberpruefung der Erreichbarkeit der HTTP-Endpoints unter Beruecksichtung der verschiedenen Berechtigungen

[eloquenza]

Meiner Meinung nach sollten wir noch Tests definieren, die via FakeRequests/WSClient (real requests over HTTP Stack) verifizieren, welcher Nutzer mit welcher Berechtigung/Authentisierung auf welchen HTTP-Endpoint zugreifen darf, und welchen HTTP Status Code er dabei zurueckbekommen sollte.

Das sollte uns helfen, damit wir auch nichts vergessen haben, aber auch, damit sowas wie Issue #37 nicht nochmal passiert. Ferner macht sich sowas sicher schoen in der Architekturbeschreibung.

Ich habe das bereits im Commit fbe56f4 prototypisch implementiert fuer den Fall, dass ein User unauthenticated ist.
Darunter sieht man nochmal Beispiele, wie man einen Admin authentifizieren koennte via FakeRequest oder WSClient.

[eloquenza]

Bump.

Siehe ef3841c
Sollten wir wie im Gruppenchat erwaehnt noch fuer die anderen Endpoints + Privilegienlevel machen.

Herr Peine sieht naemlich solche Fehler als "Missing Authorization"-Fehler, siehe Auszug aus alter Mail:

Dabei haben sie einige Fehler gefunden, die groesstenteils geringfuegig
(bedeutet: View-spezifisch) waren. Den einzig sicherheitsrelevanten Fehler, den
die beiden gefunden haben, war, dass man das Formular zum Erstellen eines Nutzers
als Nicht-Admin ansurfen konnte.

... und das wäre schon eine mittelschwere Schwachstelle. Gut, dass Sie hier die
Erfahrung gemacht haben, dass sich das Review gelohnt hat!

[eloquenza]

Ansurfbar als unauthorized user:

http://localhost:9000/changePasswordAfterReset