ApiAware Zugriffsrechte über Api Sicherheitsupdate 6.3.5.1

Shopforge · 25. Februar 2021 um 15:48

Hallo zusammen,

mit dem Sicherheitsupdate 6.3.5.1 wurde die Sicherheit der API verbessert. Es muss nun explizit angegeben werden welche Informationen über die API ausgesteuert werden. Hierzu gibt es einen Link:

github.com

shopware/platform/blob/v6.3.5.1/UPGRADE-6.3.md#6351

UPGRADE FROM 6.2.x to 6.3
=======================

# 6.3.5.1
## Api aware fields
So far, we have used a protection pattern on the entities, to define which fields are available through the APIs. This pattern has been used for the `/admin` API as well as for the `/sales-channel-api` and `/store-api`.
A field could previously be excluded from an API via the `Shopware\Core\Framework\DataAbstractionLayer\Field\Flag\ReadProtected`. This has now changed as follows:

* Every field is enabled for the `/admin` API by default. This happens via the base `\Shopware\Core\Framework\DataAbstractionLayer\Field\Field` class where we add the flag by default for the `/admin` API.
* To make a field available in the `/store-api` as well, the flag can be overwritten and the correct source can be specified in the new flag.
* By default, no information for an entity is available in the `/store-api`. Only by adding the flag the data becomes visible.
* If no source is passed to the flag, the flag will use all sources as default.
* If a field should not be available via any API, the flag can be removed via `->removeFlag(ApiAware::class)`.

* Example, make field available to all APIs (`/admin` and `/store-api`)
```php
(new TranslatedField('description'))->addFlags(new ApiAware())
```

* Example, make field available in `/store-api` only

This file has been truncated. show original

Mein aktuelles Problem ist nun das ich eine externe Anwendung habe die sich über die Sales-Channel-Api (welche ab 6.4.0.0 komplett abgeschaltet wird) Informationen zieht. In dem Beispiel oben im Link wird erklärt wie man mit ApiAware die Einschränkung aufheben kann. Das klappt auch alles soweit wenn ich die Anpassungen direkt in der Datei vornehme.

vendor/shopware/core/Framework/DataAbstractionLayer/Field/Field.php

(hinzufügen der SalesChannelApiSource::class was bewirkt das in der SalesChannelApi wieder alle Felder inkl. Entities zur verfügung stehen.)

    public function __construct(string $propertyName)
    {
        $this->propertyName = $propertyName;

        $this->addFlags(new ApiAware(AdminApiSource::class, SalesChannelApiSource::class));
    }

Ich würde nun gerne über ein Plugin das setzen/überschreiben realisieren. Da die class Field eine abstract class ist lässt sich diese im Plugin nicht so einfach überschreiben. Hier fehlt mir aktuell die Idee wie ich das am besten realisieren könnte. Dann stell ich mir die Frage ob es möglich ist auch nur bestimmte Teile frei zu geben anstatt wieder global die Sicherheitslücke zu öffnen.

Shopforge · 25. Februar 2021 um 15:56

Falls das jemand als Hotfix verwenden möchte, im oberen Bereich nicht vergessen die SalesChannelApiSource einzubinden.

use Shopware\Core\Framework\Api\Context\SalesChannelApiSource;

Thema		Antworten	Aufrufe
Aktuelle Version API Programmierung	0	462	30. Juni 2021
Admin API Änderungen erkennen Shopware 6 (German)	0	188	6. November 2023
Admin API Änderungen in Shopware 6.5 Programmierung	2	993	4. August 2023
API Key sichtbar? API deaktivieren? Shopware 6 (German)	2	660	23. April 2021
API questions productliste und unterschied API / STORE-API Shopware 6 (German)	0	102	18. April 2024

ApiAware Zugriffsrechte über Api Sicherheitsupdate 6.3.5.1

Verwandte Themen