Specifiche SPID e HTTP status code del validatore #136
Comments
|
Giocando un po' col codice confermo quanto detto sopra: almeno per il test 111, nel metodo check_response in response.py viene verificato res.status_code in attendeds. Tuttavia questo comportamento è in contraddizione con quanto riportato all'indirizzo seguente Con quale strumento è possibile verificare correttamente il comportamento di un SP? |
|
in spid-sp-test i codici di errore attesi sono qui in spid-regole-tecniche non vedo codici in contraddizione spid-sp-test è utilizzato da spid-saml-check per check su metadata e authn request, per le response entrambi adottano le medesime specifiche, pertanto questi sono i tool da utilizzare per testare il comportamento di un SP. Se avviene un errore è formalmente scorretto rispondere con HTTP 200, non so se e quando la AgID aggiornerà le specifiche di SPID QaD test. Così su due piedi non correggerei spid-sp-test ma adeguerei il comportamento del SP per adottare un codice di errore HTTP. Vedi questo comportamento come una anomalia? |
|
Buongiorno Giuseppe e grazie per il riscontro. Il dubbio nasce dal fatto che le specifiche NON parlano di codici HTTP specifici nel caso in esame mentre per altri casi sì. Rivedere il comportamento nel mio SP non è proprio banale quindi, prima di procedere, vorrei essere certo del fatto che la direzione da prendere è quella in linea con l'attuale comportamento di spid-sp-test. Posso prendere quel che mi dici come un requisito ufficiale? |
|
Risolto forzando il SP a restituire uno tato d'errore in caso di anomalie |
|
Ciao @fmartelli credo che questa issue sia bene mantenerla aperta fino a quando le specifiche AgID non verranno aggiornate/integrate con questo dettaglio sui codici di errore HTTP. In assenza di questi diventa ferraginoso automatizzare i test. Questo non significa che i criteri di accessibilità non debbano essere verificati "umanamente" ma credo che sia importante poter automatizzare quanto più possibile con il minore sforzo possibile, se tutti gli automatici vanno bene sarà poi uno sforzo relativamente piccolo quello di verificare le pagine di atterraggio secondo le linee guida di accessibilità. Insomma, si farebbe con un semplice colpo d'occhio |
peppelinux
changed the title
|
Mi sono "scontrato" anch'io con Giuseppe su questa cosa in passato :-) Di fatto le specifiche SPID non dicono che il server web debba restituire un HTTP Status Code d'errore quando una pagina d'errore viene mostrata all'utente ed è prassi comune, per pagine che debbano essere fruite da esseri umani, che si usi lo status code 200 indipendentemente dal contenuto semantico della pagina mostrata all'utente (penso, ad esempio, ad una pagina di risposta ad una form di login che ti dice che hai sbagliato le credenziali... dubito fortemente che quella pagina venga restituita con uno status code 401 se non si usa la Basic Authentication ;-)) . Pertanto @fmartelli, se i controlli di spid-sp-test passano ora che hai aggiunto un opportuno status code HTTP alle tue response d'errore, vai tranquillo che il tuo SP è conforme a quanto richiesto per l'onboarding SPID (salvo che ti contestino elementi grafici o cose di questo tipo). |
Buongiorno, mi risulta che vengano segnalati errori sebbene il SP sembra rispettare le specifiche.
Un esempio fra tutti è il test 111.
Sebbene alla richiesta annullata dall'utente (segnalata correttamente con errore n25) il SP mostri una pagina di cortesia con indicazione dell'errore ricevuto dall'IdP, il test fallisce ugualmente.
Dando uno sguardo al codice sembrerebbe che spid-sp-test si stia aspetando un HTTP error code, cosa che non è richiesta dalle specifiche.
Nel caso in esame (test 111) sarebbe possibile capire cosa ci si aspetta esattamente e se questo è in linea con quanto richiesto dalle specifiche?
The text was updated successfully, but these errors were encountered: