Différences

Ci-dessous, les différences entre deux révisions de la page.

--- informatique:api-rest:postgrest [2025/07/30 13:39] – [Pour aller plus loin, jointures…] bertrand
+++ informatique:api-rest:postgrest [2025/10/13 12:25] (Version actuelle) – [Les droits] bertrand
@@ Ligne 300: / Ligne 300: @@
 [[:informatique:api-rest:postgrest-dockeriser|dockeriser postgresql/postgis/postgrest]]
+===== Questions de sécurité =====
+==== Exposition des tables ====
+Par défaut, PostgREST va exposer les tables de la base de données, divulguant ainsi le schéma de la base.
+Pour éviter cela, on peut créer des vues qui vont réaliser les jointures permettant de retourner une vue (//à plat//) et masquer d'éventuels attributs/champs de table qu'on ne souhaite pas divulguer.
+==== Les droits ====
+Il est évidemment important de bien définir les droits… FIXME à préciser
+À minima, il faut bien définir un u
+On a vu plus haut l'utilisation d'un rôle anonyme qui n'a que des droits en lecture, puis un rôle //user// qui a des droits en écriture, associé à un jeton (Token) JWT si besoin.
+==== Injection SQL ====
+Le parser de postgREST utilise des requêtes préparées (//invulnerable to SQL injection//) :\\
+https://docs.postgrest.org/en/stable/references/configuration.html#db-prepared-statements
 ===== Pour aller plus loin, jointures… =====
   * [[:informatique:api-rest:postgrest-jointure-postgis|Jointure et insertion de lieux avec coordonnées géographique (geometry)]]
   * [[https://postgis.net/documentation/tips/tip-move-postgis-schema/]] pbm //type "geometry" does not exist// lié à l’extention postgis/schéma //public//.