Відсутній доступ для біддера - завантаження, перегляд історії документів біда для статусів процедур active_tendering, active_auction

STR:

1. Опублікувати процедуру
2. Дочекатись статусу процеду active_tendering
3. Опублікувати/активувати 2 біда
4. Для статусу процедури active_tendering - витягнути історію документів біда/скачати документ біда (біддером)
5. Дочекатись статусу процеду active_auction
6. Для статусу процедури active_auction - витягнути історію документів біда/скачати документ біда (біддером)

AR:
4. витягнути історію документів біда - 403/скачати документ біда - 200
6. витягнути історію документів біда - 403/скачати документ біда - 403

ER:

1. Для процедури у статусі active_tendering та active_auction у біда має бути можливість отримувати документи свого біда та історію документів свого біда.

Зараз запити:

/api/procedures/{procedure_id}/bids/{bid_id}/documents?acc_token={{bidder_token}}

/api/procedures/{procedure_id}/bids/{bid_id}/documents/history?acc_token={{bidder_token}}

​/api​/procedures​/{procedure_id}​/bids​/{bid_id}​/documents​/{doc_id}?acc_token={{bidder_token}}

повертають помилку, коли Процедура в статусах active_tendering ТА active_auction (це некоректно)

Якщо процедура переходить в статус active_qualification - запити починають віддавати інфо коректно.

Якщо запити виконувати БЕЗ використання токена біда, то маємо отримувати 403 (ніхто, окрім самого біда не має бачити його документа, коли процедура в active_tendering або active_auction)

2. Для процедури у статусі active_qualification у біда має бути можливість отримувати документи свого біда та історію документів свого біда.

Зараз запити:

/api/procedures/{procedure_id}/bids/{bid_id}/documents?acc_token={{bidder_token}}

/api/procedures/{procedure_id}/bids/{bid_id}/documents/history?acc_token={{bidder_token}}

​/api​/procedures​/{procedure_id}​/bids​/{bid_id}​/documents​/{doc_id}?acc_token={{bidder_token}}

повертають відповідь 200 (це зараз працює і це коректно)

Також 200 повертається, якщо робити ПУБЛІЧНИЙ запит без використання токена біда. Це коректно. (Біди після МА стали публічні і будь-хто повинен мати можливість бачити їх документи)

3. Для процедури у статусі complete

Зараз запити:

/api/procedures/{procedure_id}/bids/{bid_id}/documents?acc_token={{bidder_token}}

/api/procedures/{procedure_id}/bids/{bid_id}/documents/history?acc_token={{bidder_token}}

​/api​/procedures​/{procedure_id}​/bids​/{bid_id}​/documents​/{doc_id}?acc_token={{bidder_token}}

повертають помилку 403 (це некоректно!)

Бід вже доступен публічно. Потрібно повертати йому його документи. Їх все одно можна побачити публічно в GET процедури

Також необхідно повертати 200, якщо запит робити без використання токена (публічно мають бути доступні документи)

4. Для статусів процедури cancelled та unsuccessful також необхідно повертати біду його документи по цим endpoints, якщо бід робить запит зі своїм токеном.

Документи Біда публічні починаючи з кваліфікації.

В термінальних статусах (Complete/Unsuccessful/Cancelled) методи get_bid_document/get_bid_documents приватні, хоча документи бідів доступні в тілі процедури (тут є, тут нама)

Зараз в статусах процедури complete/cancelled/unsuccessful ці ендпоінти приватні:

• GET /api/procedures/<proc_id>/bids/<bid_id>/documents
• GET /api/procedures/<proc_id>/bids/<bid_id>/documents/<doc_id>

хоча будь хто може отримати ці доки іншим запитом в тілі процедури (GET /api/procedures/<proc_id>), бо там документи бідів публічні.

Також для Авардів і Контрактів подібні ендпоінти публічні, лише для Бідів виключення.

P.S.: логіка private документів зберігається і не змінюється.

ВАЖЛИВО!

Якщо Бід в статусі deleted draft, то його не відображаємо публічно і публічно не повинні повертатися його документи у вищевказаних endpoints

Наприклад,

1. Опублікували процедуру

2. Опублікувався і активувася бід

3. Скасували процедуру до МА і бід публічно недоступен

   Інформація по такому біду не має відображатися публічно. Але може відображатися, якщо бід робить запит з використанням свого токена