You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Сейчас API открыт — любой может дёрнуть любой эндпоинт (создать/удалить элективы, подать заявку за чужого студента и т.д.). Логин это просто GET /api/auth/email?email=... без пароля.
Нужно: реальная сессионная/токен аутентификация + проверка прав (admin-only на мутации каталога, студент только за себя).
Сейчас API открыт — любой может дёрнуть любой эндпоинт (создать/удалить элективы, подать заявку за чужого студента и т.д.). Логин это просто
GET /api/auth/email?email=...без пароля.Нужно: реальная сессионная/токен аутентификация + проверка прав (admin-only на мутации каталога, студент только за себя).