leser fil fra vault istedenfor hardkodet liste (#17)

Leser identer som skal ha tilgang fra json-fil

Author: Kristian Storvoll

src/main/kotlin/no/nav/syfo/SyfooversiktApplication.kt

@@ -32,8 +32,7 @@ import kotlinx.coroutines.slf4j.MDCContext
 import net.logstash.logback.argument.StructuredArguments
 import no.nav.syfo.api.getWellKnown
 import no.nav.syfo.api.registerNaisApi
-import no.nav.syfo.auth.getTokenFromCookie
-import no.nav.syfo.auth.isInvalidToken
+import no.nav.syfo.auth.*
 import no.nav.syfo.db.*
 import no.nav.syfo.kafka.setupKafka
 import no.nav.syfo.personstatus.*
@@ -233,11 +232,10 @@ fun Application.serverModule() {
                 return@intercept
             }
             val cookies = call.request.cookies
-
             if (isInvalidToken(cookies)) {
                 call.respond(HttpStatusCode.Unauthorized, "Ugyldig token")
                 finish()
-            } else if (!tilgangsSjekk.harTilgang(getTokenFromCookie(cookies))) {
+            } else if (!tilgangsSjekk.harTilgang(getVeilederTokenPayload(getTokenFromCookie(cookies)).navIdent)) {
                 call.respond(HttpStatusCode.Forbidden, "Denne identen har ikke tilgang til applikasjonen")
                 finish()
             } else {

src/main/kotlin/no/nav/syfo/tilgangskontroll/MidlertidigTilgangsKontroll.kt

@@ -1,52 +1,38 @@
 package no.nav.syfo.tilgangskontroll
 
-import no.nav.syfo.auth.getVeilederTokenPayload
-import no.nav.syfo.isPreProd
+import com.fasterxml.jackson.databind.*
+import com.fasterxml.jackson.datatype.jsr310.JavaTimeModule
+import com.fasterxml.jackson.module.kotlin.readValue
+import com.fasterxml.jackson.module.kotlin.registerKotlinModule
+import no.nav.syfo.LOG
 import no.nav.syfo.util.allToUpperCase
+import java.nio.file.Paths
 
-val veilederIdenterMedTilgang = arrayListOf(
-        "Z991598",
-        "T152136",
-        "S139136",
-        "H103404",
-        "L126710",
-        "W126199",
-        "F125384",
-        "H146483",
-        "K105407",
-        "M152421",
-        "H152380",
-        "H148938",
-        "H131999",
-        "V134908",
-        "H139248",
-        "H149140",
-        "B144544",
-        "S113562",
-        "V111088",
-        "F140344",
-        "M106428",
-        "N149853", // - Lisa
-        "R144807"  // - Tor Halle
-).allToUpperCase()
-
-val utviklereMedTilgangIPreProd = arrayListOf(
-        "Z990197", // - John Martin
-        "Z992300", // - Erik
-        "Z992668", // - Kristian
-        "Z990243", // - June
-        "G153334", // - Solveig-1
-        "Z990573", // - Solveig-2
-        "Z992668"  // - Kristian
-).allToUpperCase()
-
-class MidlertidigTilgangsSjekk(private var tilgangListe: List<String> = veilederIdenterMedTilgang) {
+private val objectMapper: ObjectMapper = ObjectMapper().apply {
+    registerKotlinModule()
+    registerModule(JavaTimeModule())
+}
+
+data class Tilganger (
+        val identer: List<String>
+)
+
+private fun lesTilgangsfil(path: String): Tilganger {
+    LOG.info("Leser tilgangsfil fra $path")
+    val s = Paths.get(path).toFile().readText()
+    return objectMapper.readValue<Tilganger>(s).also { LOG.info("Leste tilgang fra fil med ${it.identer.size} identer") }
+}
+
+private const val vaultFile = "/var/run/secrets/nais.io/vault/tilganger.json"
+
+class MidlertidigTilgangsSjekk(pathTilTilgangsfil: String = vaultFile) {
+
+    var tilgangListe = arrayListOf<String>()
 
     init {
-        if (isPreProd()) {
-            tilgangListe = tilgangListe.plus(utviklereMedTilgangIPreProd)
-        }
+        val tilgangsFil = lesTilgangsfil(pathTilTilgangsfil)
+        tilgangListe.addAll(tilgangsFil.identer.allToUpperCase())
     }
 
-    fun harTilgang(token: String): Boolean = getVeilederTokenPayload(token).let { tilgangListe.contains(it.navIdent.toUpperCase()) }
+    fun harTilgang(navIdent: String): Boolean = tilgangListe.contains(navIdent.toUpperCase())
 }

src/main/kotlin/no/nav/syfo/vault/Vault.kt

@@ -60,4 +60,5 @@ object Vault {
         duration < MIN_REFRESH_MARGIN * 2 -> duration / 2
         else -> duration - MIN_REFRESH_MARGIN
     }
+
 }

src/test/kotlin/no/nav/syfo/tilgangskontroll/MidlertidigTilgangsKontrollSpek.kt

@@ -0,0 +1,28 @@
+package no.nav.syfo.tilgangskontroll
+
+import io.ktor.util.InternalAPI
+import org.amshove.kluent.*
+import org.spekframework.spek2.Spek
+import org.spekframework.spek2.style.specification.describe
+
+@InternalAPI
+class MidlertidigTilgangsKontrollSpek : Spek({
+
+    describe("MidlertidigTilgangsSjekk") {
+        val tilgangsSjekk = MidlertidigTilgangsSjekk(javaClass.classLoader.getResource("tilganger.json").path)
+        it("Skal lese tilganger") {
+            tilgangsSjekk.tilgangListe.size shouldEqualTo 1
+            tilgangsSjekk.tilgangListe shouldContain "Z123456"
+        }
+
+        it("Skal gi tilgang til en ident i listen") {
+            val harTilgang = tilgangsSjekk.harTilgang("Z123456")
+            harTilgang shouldEqual true
+        }
+
+        it("Skal ikke gi tilgang til ident som ikke finnes i listen") {
+            val harTilgang = tilgangsSjekk.harTilgang("Z123455")
+            harTilgang shouldEqual false
+        }
+    }
+})

src/test/resources/tilganger.json

@@ -0,0 +1,5 @@
+{
+  "identer": [
+    "Z123456"
+  ]
+}