Sikkerhet ved bestillinger

[LilleAila]

Akkurat nå er systemet lagt opp slik at man autentiserer og gjør requests til PB gjennom frontenden. Dette fungerer bra når man skal lese data, og også å skrive data om seg selv, etc. Når det kommer til å håndtere bestillinger, mener jeg dette bør skje fra backend, gjennom en admin-autentisert instance av pocketbase. Å gi client-side brukere skrivetilgang til slike collections vil åpne store hull i sikkerheten som lar dem opprette egne bestillinger uten å betale, som selvfølgelig ikke er noe vi vil ha.

Jeg foreslår at vi gjør dette gjennom en slags callback fra vipps som sender en POST-request til en server-fil i svelte, som oppretter bestillingen på denne måten. For ansatte har det ikke like mye å si, siden de allerede har permissions til å gjøre hva de vil med bestillingene.

[kluvin]

@LilleAila har du vurdert sikkerhetsreglene til pocketbase? #34

Det var en av hovedgrunnene jeg så på dette som en god kandidat for backend