[IOT-2843] remove DOXS access to /crl 47/23047/2
authorNathan Heldt-Sheller <nathan.heldt-sheller@intel.com>
Sat, 28 Oct 2017 01:05:59 +0000 (18:05 -0700)
committerNathan Heldt-Sheller <nathan.heldt-sheller@intel.com>
Tue, 31 Oct 2017 16:10:19 +0000 (16:10 +0000)
Although the Security Spec is silent on whether DOXS has
implicit access (that is, a permanent ACE, or default ACE that
can't be modified) to the /crl Resource.  CTT interprets that
to mean it doesn't have implicit access, even though DOXS
can access related configuration Resources (/doxm, /pstat, /acl2,
/cred).  Rather than fight over it I'm changing because
either way works, it's just more effort for OBT with implicit
access reduced.  Still a reasonable inference (though not
normatively supported).

Change-Id: I86f8a7f1ed217b7bdeb3cae2ab015fb035cd8940
Signed-off-by: Nathan Heldt-Sheller <nathan.heldt-sheller@intel.com>
resource/csdk/security/src/policyengine.c

index d6b0322..91780e6 100644 (file)
@@ -814,10 +814,13 @@ void CheckPermission(SRMRequestContext_t *context)
         OIC_LOG_V(INFO, TAG, "%s: granting implicit access to OT session request", __func__);
         context->responseVal = ACCESS_GRANTED;
     }
-    else if (((OIC_R_ACL_TYPE <= context->resourceType) &&
-        (OIC_SEC_SVR_TYPE_COUNT > context->resourceType)) && IsRequestFromDoxs(context))
+    else if (((OIC_R_DOXM_TYPE == context->resourceType) ||
+              (OIC_R_PSTAT_TYPE == context->resourceType) ||
+              (OIC_R_CRED_TYPE == context->resourceType) ||
+              (OIC_R_ACL_TYPE == context->resourceType)) && 
+             (IsRequestFromDoxs(context)))
     {
-        OIC_LOG_V(INFO, TAG, "%s: granting DOXS implicit access to SVR.", __func__);
+        OIC_LOG_V(INFO, TAG, "%s: granting DOXS implicit access to /acl2, /cred, /doxm or /pstat.", __func__);
         context->responseVal = ACCESS_GRANTED;
     }
     else if ((OIC_R_PSTAT_TYPE == context->resourceType) && IsRequestFromAms(context))