[FEATURE] Autoriser l'accès à Pix Junior seulement si une session est active

[aurelie-crouillebois]

🦄 Problème

Pix Junior est accessible sans authentification et donne accès à la liste des élèves, importés dans une école, à partir d'un simple code école.
Ce code école peut être attaqué en force brute dans l'application.

🤖 Proposition

Pour limiter la surface d'attaque de ce code, celui-ci ne sera rendu utilisable qu'à condition qu'une session ait été ouverte par l'enseignant.
Cette PR a pour objectif d'empêcher l'accès à Pix Junior lorsqu'il n'y a pas de session active pour l'école.

🌈 Remarques

L'API doit se comporter de la même manière lorsqu'on lui fournit un code école erroné, ou un code école où aucune session n'est ouverte. Ceci pour ne pas donner d'information sur la validité du code école.

💯 Pour tester

Sur la page de saisie du code école de Pix Junior :

• saisir un code inconnu : la page indiquant que le code école est erroné ou que la session de l'école est fermée.
• saisir un code école pour une école valide (sans session ouverte) : idem
• ouvrir une session et saisir le code école : la liste des classes s'affiche
• attendre la fermeture de session (ou aller changer la date de fin en bdd) : la page d'école non trouvée s'affiche de nouveau

[pix-bot-github]

Une fois les applications déployées, elles seront accessibles via les liens suivants :

• App (.fr)
• App (.org)
• Orga (.fr)
• Orga (.org)
• Certif (.fr)
• Certif (.org)
• Junior
• Admin
• API
• Audit Logger

Les variables d'environnement seront accessibles via les liens suivants :

• scalingo front
• scalingo api
• scalingo audit-logger

[yaelle6]

review tech et front en mob