Rails 7.0 : finalise la migration des defaults

[colinux]

On avait attendu à l'époque pour se laisser l'opportunité au cas où de rollback car ces changements sont non rétro compatibles (et on avait jamais finalisé).

• cache au format rails 7
• algo par défaut de chiffrement des clés SHA1 => SHA256

Conséquemment :

• on fait une rotation des cookies pour pas déconnecter tout le monde (le code du rotator vient direct de la doc)
• task pour faire faire la rotation des attributs chiffrés (on a que Procedure#api_particulier_token_ concerné`)

On pourra décabler la rotation dans quelques temps.

Les messages signés ne sont pas concernés, la valeur par défaut restant au SHA1.

Testé manuellement :

• user connecté avec cookie SHA1 => change l'algo en SHA256 => on reste connecté et le cookie est migré => on débranche la rotation => on reste connecté
• api particulier tokens
• OTP super admins => pas d'impact, mais on en profite pour migrer aussi les OTP secrets dans Tech: task pour copier les secrets OTP vers les encrypted attributes #10722

[codecov]

Codecov Report

Attention: Patch coverage is 83.33333% with 2 lines in your changes missing coverage. Please review.

Project coverage is 84.57%. Comparing base (a784b01) to head (5859ea4).
Report is 95 commits behind head on main.

Files with missing lines	Patch %	Lines
...ce/rotate_api_particulier_token_encryption_task.rb	80.00%	2 Missing ⚠️

Additional details and impacted files

@@            Coverage Diff             @@
##             main   #10712      +/-   ##
==========================================
- Coverage   84.57%   84.57%   -0.01%     
==========================================
  Files        1118     1119       +1     
  Lines       24753    24765      +12     
  Branches     4611     4611              
==========================================
+ Hits        20935    20945      +10     
- Misses       3818     3820       +2     

☔ View full report in Codecov by Sentry.
📢 Have feedback on the report? Share it here.

[mfo]

til: https://api.rubyonrails.org/v7.1.0/classes/ActiveSupport/MessageEncryptor.html – vraiment cool j'avais vraiment pas creusé comme API :-)

[mfo]

impeccable ! juste les tests autour de la rotation de encrypt/descrypt ou j'ai l'impression qu'on re-teste le MessageEncryptor de rails, mais a la limite on pourra les faire sauter une fois les cookies rotate et les migrations passées