decidim-system 0.30.1 → 0.31.0.rc1

data/app/views/decidim/system/shared/_api_users.html.erb

@@ -0,0 +1,66 @@
+<table class="stack">
+  <thead>
+    <tr><th><%= t("models.api_user.fields.organization", scope: "decidim.system") %></th>
+      <th><%= t("models.api_user.fields.name", scope: "decidim.system") %></th>
+      <th><%= t("models.api_user.fields.key", scope: "decidim.system") %></th>
+      <th><%= t("models.api_user.fields.secret", scope: "decidim.system") %></th>
+      <th><%= t("models.api_user.fields.created_at", scope: "decidim.system") %></th>
+      <th><%= t("actions.title", scope: "decidim.system") %></th>
+    </tr>
+  </thead>
+  <tbody>
+    <% api_users&.each do |api_user| %>
+      <tr>
+        <td>
+          <%= api_user.organization.host %>
+        </td>
+        <td>
+          <%= api_user.name %>
+        </td>
+        <td>
+          <%= translated_attribute(api_user.api_key) %>
+        </td>
+        <td>
+          <% if fresh_token?(api_user) %>
+            <div data-controller="password-toggler" class="flex flex-row items-center gap-x-2">
+              <div class="input-group__password">
+                <input type="password" id="<%= "token_#{api_user.id}" %>" value="<%= @secret_user[:secret] %>" class="w-full" autocomplete="off">
+              </div>
+              <div class="basis-1/4"
+                data-show-password="<%= t "api_user.show_secret", scope: "decidim.system.actions" %>"
+                data-hide-password="<%= t "api_user.hide_secret", scope: "decidim.system.actions" %>"
+                data-hidden-password="<%= t "api_user.hidden_secret", scope: "decidim.system.actions" %>"
+                data-shown-password="<%= t "api_user.shown_secret", scope: "decidim.system.actions" %>">
+                <button type="button"
+                      class="button button__sm button__text-primary"
+                      data-controller="clipboard-copy"
+                      data-clipboard-copy="<%= "#token_#{api_user.id}" %>"
+                      data-clipboard-content="<%= @secret_user[:secret] %>"
+                      data-clipboard-copy-label="<%= t("copied", scope: "decidim.system.actions") %>"
+                      data-clipboard-copy-message="<%= t("copied", scope: "decidim.system.actions") %>"
+                      title="<%= t("copy_secret_clarification", scope: "decidim.system.actions") %>">
+                  <span><%= t("copy_secret", scope: "decidim.system.actions") %></span>
+                  <%= icon "file-copy-line" %>
+                </button>
+              </div>
+            </div>
+          <% else %>
+           <div class="flex items-center gap-x-2">
+              <div class="basis-3/4">
+                <%= t("api_user.secret_can_not_be_shown", scope:"decidim.system.actions") %>
+              </div>
+            </div>
+          <% end %>
+        </td>
+        <td>
+          <%= l api_user.created_at, format: :short %>
+        </td>
+        <td>
+          <%= link_to t("actions.refresh_secret", scope: "decidim.system"), api_user_path(id: api_user.id), class: "button button__sm button__text-primary", method: :patch, data: { confirm: t("actions.confirm_refresh_api_secret", scope: "decidim.system") } %>
+          <br>
+          <%= link_to t("actions.api_users.remove", scope: "decidim.system"), api_user_path(id: api_user.id), class: "button button__sm button__text-primary", method: :delete, data: { confirm: t("actions.confirm_remove_api_user", scope: "decidim.system") } %>
+        </td>
+      </tr>
+    <% end %>
+  </tbody>
+</table>

data/app/views/layouts/decidim/system/_header.html.erb

@@ -1,4 +1,4 @@
-<meta name="viewport" content="width=device-width, initial-scale=1">
+<%= tag :meta, name: "viewport", content: "width=device-width, initial-scale=1.0" %>
 <%= csrf_meta_tags %>
 <%= append_stylesheet_pack_tag "decidim_system_overrides", media: "all" %>
 <%= stylesheet_pack_tag "decidim_core", "decidim_system", media: "all" %>

data/app/views/layouts/decidim/system/application.html.erb

@@ -1,6 +1,6 @@
 <% add_decidim_page_title("Decidim - System") %>
 <!DOCTYPE html>
-<html>
+<html dir="<%= rtl_direction %>">
 <head>
   <title><%= decidim_page_title %></title>
   <%= render partial: "layouts/decidim/system/header" %>
@@ -13,7 +13,7 @@
 
   <main class="grow">
     <div class="flex md:hidden items-center gap-2 bg-primary p-4 text-white font-bold text-lg">
-      <button id="aside-trigger" class="flex-none md:hidden" data-component="dropdown" data-target="aside-system" data-disabled-md="true">
+      <button id="aside-trigger" class="flex-none md:hidden" data-controller="dropdown" data-target="aside-system" data-disabled-md="true">
         <%= icon "menu-line", class: "w-6 h-6 text-white fill-current" %>
       </button>
 

data/config/assets.rb

@@ -2,8 +2,8 @@
 
 base_path = File.expand_path("..", __dir__)
 
-Decidim::Webpacker.register_path("#{base_path}/app/packs")
-Decidim::Webpacker.register_entrypoints(
+Decidim::Shakapacker.register_path("#{base_path}/app/packs")
+Decidim::Shakapacker.register_entrypoints(
   decidim_system_overrides: "#{base_path}/app/packs/entrypoints/decidim_system_overrides.scss",
   decidim_system: "#{base_path}/app/packs/entrypoints/decidim_system.js"
 )

data/config/locales/ca-IT.yml

@@ -8,6 +8,9 @@ ca-IT:
         organization_name: Organització
         organization_url: URL de l'organització
         redirect_uri: URI de redirecció
+        refresh_tokens: Renovar autentificadors (tokens)
+        refresh_tokens_enabled: Renovar autentificadors (tokens) habilitats
+        scopes: Àmbits disponibles
       organization:
         address: Nom del servidor SMTP
         from_email: Adreça de correu electrònic
@@ -39,12 +42,28 @@ ca-IT:
   decidim:
     system:
       actions:
+        api_user:
+          hidden_secret: El secret està amagat
+          hide_secret: Amagar el secret
+          secret_can_not_be_shown: el secret d'API només es pot veure i copiar després de la creació
+          show_secret: Mostrar secret
+          shown_secret: Es mostra el secret
+        api_users:
+          create: Crear
+          new: Nova usuària de l'API
+          remove: Eliminar usuària
         confirm_destroy: Segur que ho vols eliminar això?
+        confirm_refresh_api_secret: Segur que vols renovar el secret per a aquesta usuària de l'API? Un cop renovat, el secret antic no serà vàlid i ja no es podrà fer servir.
+        confirm_remove_api_user: Segur que vols eliminar a aquesta usuària de l'API?
+        copied: S'ha copiat
+        copy_secret: Copiar el secret
+        copy_secret_clarification: Copiar el secret al porta-retalls
         destroy: Suprimeix
         edit: Edita
         new_admin: Afegir administradora
         new_oauth_application: Afegir aplicació OAUTH
         new_organization: Afegir organització
+        refresh_secret: Actualitzar el secret
         save: Desa
         title: Accions
       admins:
@@ -64,6 +83,25 @@ ca-IT:
         update:
           error: S'ha produït un error en actualitzar aquesta administradora.
           success: L'administradora s'ha actualitzat correctament.
+      api_user:
+        create:
+          error: S'ha produït un error en crear la usuària de l'API.
+          success: La usuària de l'API s'ha creat correctament. El secret per a la usuària només és visible després de la creació. Si us plau, copia'l i guarda'l de forma segura abans de sortir d'aquesta pàgina!
+        destroy:
+          success: La usuària de l'API s'ha esborrat amb èxit.
+        refresh:
+          error: Alguna cosa ha anat malament. Si us plau, intenta-ho de nou més tard.
+          success: S'ha renovat el secret correctament. El secret per a la usuària només és visible després de la creació. Si us plau, copia'l i guarda'l de forma segura abans de sortir d'aquesta pàgina!
+      api_users:
+        index:
+          explanation_html: |
+            <p>Les usuàries de l'API permeten a les desenvolupadores d'integració afegir comptes d'usuària de màquina administratives al sistema. Aquestes usuàries de màquina poden actuar com a administradores a la plataforma per realitzar actualitzacions que els administradors normals farien a través del panell d'administració. Un cas d'ús típic és una plataforma de gestió externa on un script automatitzat realitzaria tasques administratives amb la plataforma sense que una usuària real hagui d'autenticar-se al sistema. Per exemple, un sistema d'automatització podria voler enviar respostes a propostes i en aquest cas necessitem una usuària d'integració per fer aquesta tasca dins d'aquesta plataforma.</p>
+            <p>La principal diferència entre aquests comptes i els comptes d'administració normals és que aquests usuàries estan destinades a ser utilitzats per les màquines i per tant els seus requisits de contrasenya són diferents. Aquestes usuàries no necessiten actualitzar regularment la contrasenya i el canvi de contrasenya del compte es pot fer de manera gestionada quan sigui necessari.</p>
+            <p>Aquestes credencials estan destinades a ser utilitzades per màquines. Les aplicacions orientades als participants s'han d'integrar amb <a href="%{oauth_link}">Aplicacions OAuth</a>.</p>
+          manage: Gestionar usuàries s de l'API
+        new:
+          select_organization: Seleccionar la teva organització
+          title: Crear una nova usuària de l'API
       dashboard:
         show:
           admins: Administradores
@@ -92,6 +130,7 @@ ca-IT:
             sign_up: Crea un compte
       menu:
         admins: Administradores
+        api_credentials: Credencials de l'API
         dashboard: Tauler d'administració
         oauth_applications: Aplicacions OAuth
         organizations: Organitzacions
@@ -102,6 +141,15 @@ ca-IT:
             email: Correu electrònic
           validations:
             email_uniqueness: ja existeix una altra administradora amb aquest correu electrònic
+        api_user:
+          fields:
+            created_at: Creat el
+            key: Clau
+            name: Nom
+            organization: Organització
+            secret: Secret
+          validations:
+            name_uniqueness: Ja existeix una usuària de l'API amb aquest nom.
         oauth_application:
           fields:
             created_at: Creat el
@@ -128,6 +176,26 @@ ca-IT:
           save: Guardar
           title: Editar aplicació
         form:
+          application_type:
+            confidential:
+              explanation: Aplicacions que són capaces d'autenticar-se de forma segura amb el servidor d'autorització, per exemple sent capaços de mantenir fora de perill el seu secret de client registrat. Normalment és una aplicació que s'executa en un servidor on s'emmagatzema el secret del client.
+              name: Confidencial
+            public:
+              explanation: Aplicacions que no poden utilitzar secrets de clients registrats, com ara aplicacions que s'executen en un navegador o en un dispositiu mòbil.
+              name: Públic
+          application_type_help_html: 'El tipus de client OAuth definit per <a href="%{client_type_link}" target="_blank">RFC 6749 Secció 2.1</a>. Els clients públics han d''implementar el flux PKCE segons el que defineix <a href="%{pkce_link}" target="_blank">RFC 7636</a>.'
+          refresh_tokens_help_html: 'Els autentificadors (tokens) d''actualització són útils en cas que l''autentificador necessiti una vida útil més llarga que l''assignada a l''autentificador d''accés.'
+          scopes_explanation:
+            "api:read": Permet a la usuària fer operacions de consulta a través de l'API GraphQL.
+            "api:write": Permet a la usuària fer operacions de mutació a través de l'API GraphQL.
+            profile: Proporciona accés als detalls del perfil de la usuària. Aquest àmbit només és necessari si l'aplicació OAuth només s'utilitza com a proveïdor d'identitat o servei d'autenticació.
+            user: Capacitat per actuar com a usuària registrada amb l'autentificador (token) donat durant les trucades a l'API GraphQL. Això és necessari per a totes les operacions api:write o api:read que necessitin informació sobre l'usuari actual.
+          scopes_help_html: |
+            Els àmbits seleccionats estaran disponibles perquè les aplicacions connectades els sol·licitin durant el procés d'autorització. La usuària rebrà informació detallada sobre la sol·licitud d'autorització quan inicieu sessió mitjançant OAuth.
+            <br>
+            Els diferents àmbits proporcionen característiques diferents per a la usuària autenticada utilitzant els autentifcadors (tokens) d'accés concedits.
+            <br>
+            <strong>Nota:</strong> Si només necessites autenticar les usuàries de les teves aplicacions externes, només necessites l'àmbit <strong>perfil</strong>. Les aplicacions que interactuen amb l'API de Decidim també necessiten altres àmbits.
           select_organization: Seleccionar una organització
         index:
           confirm_delete: Segur que vols eliminar aquesta aplicació?
@@ -216,6 +284,7 @@ ca-IT:
           intro: |
             Si us plau, vés en compte en considerar canviar aquests ajustos. Com menys opcions permetis, millor.
             Permetre extensions d'arxius específiques o tipus MIME pot exposar a les usuàries del sistema a riscos de seguretat i també pot afectar l'accessibilitat del lloc web.
+        header_snippets_help_html: Fes servir aquest camp per afegir coses a la capçalera HTML. Lús més comú és integrar serveis de tercers que requereixen JavaScript o CSS addicionals. També, pots fer-lo servir per afegir meta-etiquetes extra a l'HTML. Tingues en compte que això només serà renderitzat a pàgines públiques, no a la secció d'administració. Si el codi interactua amb APIs externes o no compleix les pautes de seguretat de l'aplicació, cal canviar la Política de Seguretat del Contingut. Llegiu més sobre <a href="https://docs.decidim.org/develop/en/customize/content_security_policy">al lloc de documentació</a>.
         index:
           title: Organitzacions
         new:

data/config/locales/ca.yml

@@ -8,6 +8,9 @@ ca:
         organization_name: Organització
         organization_url: URL de l'organització
         redirect_uri: URI de redirecció
+        refresh_tokens: Renovar autentificadors (tokens)
+        refresh_tokens_enabled: Renovar autentificadors (tokens) habilitats
+        scopes: Àmbits disponibles
       organization:
         address: Nom del servidor SMTP
         from_email: Adreça de correu electrònic
@@ -39,12 +42,28 @@ ca:
   decidim:
     system:
       actions:
+        api_user:
+          hidden_secret: El secret està amagat
+          hide_secret: Amagar el secret
+          secret_can_not_be_shown: el secret d'API només es pot veure i copiar després de la creació
+          show_secret: Mostrar secret
+          shown_secret: Es mostra el secret
+        api_users:
+          create: Crear
+          new: Nova usuària de l'API
+          remove: Eliminar usuària
         confirm_destroy: Segur que ho vols eliminar això?
+        confirm_refresh_api_secret: Segur que vols renovar el secret per a aquesta usuària de l'API? Un cop renovat, el secret antic no serà vàlid i ja no es podrà fer servir.
+        confirm_remove_api_user: Segur que vols eliminar a aquesta usuària de l'API?
+        copied: S'ha copiat
+        copy_secret: Copiar el secret
+        copy_secret_clarification: Copiar el secret al porta-retalls
         destroy: Suprimeix
         edit: Edita
         new_admin: Afegir administradora
         new_oauth_application: Afegir aplicació OAUTH
         new_organization: Afegir organització
+        refresh_secret: Actualitzar el secret
         save: Desa
         title: Accions
       admins:
@@ -64,6 +83,25 @@ ca:
         update:
           error: S'ha produït un error en actualitzar aquesta administradora.
           success: L'administradora s'ha actualitzat correctament.
+      api_user:
+        create:
+          error: S'ha produït un error en crear la usuària de l'API.
+          success: La usuària de l'API s'ha creat correctament. El secret per a la usuària només és visible després de la creació. Si us plau, copia'l i guarda'l de forma segura abans de sortir d'aquesta pàgina!
+        destroy:
+          success: La usuària de l'API s'ha esborrat amb èxit.
+        refresh:
+          error: Alguna cosa ha anat malament. Si us plau, intenta-ho de nou més tard.
+          success: S'ha renovat el secret correctament. El secret per a la usuària només és visible després de la creació. Si us plau, copia'l i guarda'l de forma segura abans de sortir d'aquesta pàgina!
+      api_users:
+        index:
+          explanation_html: |
+            <p>Les usuàries de l'API permeten a les desenvolupadores d'integració afegir comptes d'usuària de màquina administratives al sistema. Aquestes usuàries de màquina poden actuar com a administradores a la plataforma per realitzar actualitzacions que els administradors normals farien a través del panell d'administració. Un cas d'ús típic és una plataforma de gestió externa on un script automatitzat realitzaria tasques administratives amb la plataforma sense que una usuària real hagui d'autenticar-se al sistema. Per exemple, un sistema d'automatització podria voler enviar respostes a propostes i en aquest cas necessitem una usuària d'integració per fer aquesta tasca dins d'aquesta plataforma.</p>
+            <p>La principal diferència entre aquests comptes i els comptes d'administració normals és que aquests usuàries estan destinades a ser utilitzats per les màquines i per tant els seus requisits de contrasenya són diferents. Aquestes usuàries no necessiten actualitzar regularment la contrasenya i el canvi de contrasenya del compte es pot fer de manera gestionada quan sigui necessari.</p>
+            <p>Aquestes credencials estan destinades a ser utilitzades per màquines. Les aplicacions orientades als participants s'han d'integrar amb <a href="%{oauth_link}">Aplicacions OAuth</a>.</p>
+          manage: Gestionar usuàries s de l'API
+        new:
+          select_organization: Seleccionar la teva organització
+          title: Crear una nova usuària de l'API
       dashboard:
         show:
           admins: Administradores
@@ -92,6 +130,7 @@ ca:
             sign_up: Crea un compte
       menu:
         admins: Administradores
+        api_credentials: Credencials de l'API
         dashboard: Tauler d'administració
         oauth_applications: Aplicacions OAuth
         organizations: Organitzacions
@@ -102,6 +141,15 @@ ca:
             email: Correu electrònic
           validations:
             email_uniqueness: ja existeix una altra administradora amb aquest correu electrònic
+        api_user:
+          fields:
+            created_at: Creat el
+            key: Clau
+            name: Nom
+            organization: Organització
+            secret: Secret
+          validations:
+            name_uniqueness: Ja existeix una usuària de l'API amb aquest nom.
         oauth_application:
           fields:
             created_at: Creat el
@@ -128,6 +176,26 @@ ca:
           save: Guardar
           title: Editar aplicació
         form:
+          application_type:
+            confidential:
+              explanation: Aplicacions que són capaces d'autenticar-se de forma segura amb el servidor d'autorització, per exemple sent capaços de mantenir fora de perill el seu secret de client registrat. Normalment és una aplicació que s'executa en un servidor on s'emmagatzema el secret del client.
+              name: Confidencial
+            public:
+              explanation: Aplicacions que no poden utilitzar secrets de clients registrats, com ara aplicacions que s'executen en un navegador o en un dispositiu mòbil.
+              name: Públic
+          application_type_help_html: 'El tipus de client OAuth definit per <a href="%{client_type_link}" target="_blank">RFC 6749 Secció 2.1</a>. Els clients públics han d''implementar el flux PKCE segons el que defineix <a href="%{pkce_link}" target="_blank">RFC 7636</a>.'
+          refresh_tokens_help_html: 'Els autentificadors (tokens) d''actualització són útils en cas que l''autentificador necessiti una vida útil més llarga que l''assignada a l''autentificador d''accés.'
+          scopes_explanation:
+            "api:read": Permet a la usuària fer operacions de consulta a través de l'API GraphQL.
+            "api:write": Permet a la usuària fer operacions de mutació a través de l'API GraphQL.
+            profile: Proporciona accés als detalls del perfil de la usuària. Aquest àmbit només és necessari si l'aplicació OAuth només s'utilitza com a proveïdor d'identitat o servei d'autenticació.
+            user: Capacitat per actuar com a usuària registrada amb l'autentificador (token) donat durant les trucades a l'API GraphQL. Això és necessari per a totes les operacions api:write o api:read que necessitin informació sobre l'usuari actual.
+          scopes_help_html: |
+            Els àmbits seleccionats estaran disponibles perquè les aplicacions connectades els sol·licitin durant el procés d'autorització. La usuària rebrà informació detallada sobre la sol·licitud d'autorització quan inicieu sessió mitjançant OAuth.
+            <br>
+            Els diferents àmbits proporcionen característiques diferents per a la usuària autenticada utilitzant els autentifcadors (tokens) d'accés concedits.
+            <br>
+            <strong>Nota:</strong> Si només necessites autenticar les usuàries de les teves aplicacions externes, només necessites l'àmbit <strong>perfil</strong>. Les aplicacions que interactuen amb l'API de Decidim també necessiten altres àmbits.
           select_organization: Seleccionar una organització
         index:
           confirm_delete: Segur que vols eliminar aquesta aplicació?
@@ -216,6 +284,7 @@ ca:
           intro: |
             Si us plau, vés en compte en considerar canviar aquests ajustos. Com menys opcions permetis, millor.
             Permetre extensions d'arxius específiques o tipus MIME pot exposar a les usuàries del sistema a riscos de seguretat i també pot afectar l'accessibilitat del lloc web.
+        header_snippets_help_html: Fes servir aquest camp per afegir coses a la capçalera HTML. Lús més comú és integrar serveis de tercers que requereixen JavaScript o CSS addicionals. També, pots fer-lo servir per afegir meta-etiquetes extra a l'HTML. Tingues en compte que això només serà renderitzat a pàgines públiques, no a la secció d'administració. Si el codi interactua amb APIs externes o no compleix les pautes de seguretat de l'aplicació, cal canviar la Política de Seguretat del Contingut. Llegiu més sobre <a href="https://docs.decidim.org/develop/en/customize/content_security_policy">al lloc de documentació</a>.
         index:
           title: Organitzacions
         new:

data/config/locales/cs.yml

@@ -8,6 +8,9 @@ cs:
         organization_name: Organizace
         organization_url: URL organizace
         redirect_uri: Přesměrovací URI
+        refresh_tokens: Obnovit tokeny
+        refresh_tokens_enabled: Obnovení tokenů povoleno
+        scopes: Dostupné rozsahy
       organization:
         address: SMTP hostname
         from_email: E-mailová adresa
@@ -39,12 +42,24 @@ cs:
   decidim:
     system:
       actions:
+        api_user:
+          hide_secret: Skrýt tajný klíč
+          show_secret: Zobrazit tajný klíč
+          shown_secret: Tajný klíč je zobrazen
+        api_users:
+          create: Vytvořit
+          new: Nový uživatel API
+          remove: Odebrat uživatele
         confirm_destroy: Opravdu to chcete smazat?
+        copied: Zkopírováno
+        copy_secret: Kopírovat tajný klíč
+        copy_secret_clarification: Zkopírovat tajný klíč do schránky
         destroy: Smazat
         edit: Upravit
         new_admin: Nový administrátor
         new_oauth_application: Nová aplikace OAuth
         new_organization: Nová organizace
+        refresh_secret: Aktualizovat tajný klíč
         save: Uložit
         title: Akce
       admins:
@@ -64,6 +79,15 @@ cs:
         update:
           error: Při aktualizaci tohoto administrátora došlo k chybě.
           success: Správce byl úspěšně aktualizován.
+      api_user:
+        create:
+          error: Vytvoření uživatele API se nezdařilo.
+          success: Uživatel API byl úspěšně vytvořen. Tajný klíč pro uživatele je viditelný pouze po vytvoření. Prosím, zkopírujte jej a uložte ho bezpečně před opuštěním této stránky!
+        destroy:
+          success: Uživatel API byl úspěšně smazán.
+        refresh:
+          error: Něco se pokazilo! Zkuste to prosím znovu později.
+          success: Tajný klíč byl úspěšně obnoven. Tajný klíč pro uživatele je viditelný pouze po vytvoření. Zkopírujte jej a uložte jej bezpečně před opuštěním této stránky!
       dashboard:
         show:
           admins: Administrátoři
@@ -102,6 +126,13 @@ cs:
             email: E-mail
           validations:
             email_uniqueness: jiný admin se stejnou e-mailovou adresou již existuje
+        api_user:
+          fields:
+            key: Klíč
+            name: Název
+            organization: Organizace
+          validations:
+            name_uniqueness: Uživatel API s tímto jménem již existuje.
         oauth_application:
           fields:
             created_at: Vytvořeno v
@@ -128,6 +159,9 @@ cs:
           save: Uložit
           title: Upravit žádost
         form:
+          application_type:
+            public:
+              name: Veřejné
           select_organization: Vybrat organizaci
         index:
           confirm_delete: Jste si jisti, že chcete odstranit tuto žádost?

data/config/locales/de.yml

@@ -8,6 +8,7 @@ de:
         organization_name: Organisation
         organization_url: URL der Organisation
         redirect_uri: Weiterleitungs-URI
+        refresh_tokens: Token aktualisieren
       organization:
         address: SMTP Hostname
         from_email: E-Mail-Adresse
@@ -39,12 +40,18 @@ de:
   decidim:
     system:
       actions:
+        api_users:
+          create: Erstellen
         confirm_destroy: Möchtest du das wirklich löschen?
+        copied: Kopiert
+        copy_secret: Geheimnis kopieren
+        copy_secret_clarification: Geheimnis in die Zwischenablage kopieren
         destroy: Löschen
         edit: Bearbeiten
         new_admin: Neuer Admin
         new_oauth_application: Neue OAUTH-Anwendung
         new_organization: Neue Organisation
+        refresh_secret: Geheimnis aktualisieren
         save: Speichern
         title: Aktionen
       admins:
@@ -64,6 +71,9 @@ de:
         update:
           error: Beim Aktualisieren dieses Administrators ist ein Fehler aufgetreten.
           success: Admin erfolgreich aktualisiert.
+      api_user:
+        create:
+          error: API-Benutzer konnte nicht erstellt werden.
       dashboard:
         show:
           admins: Admins

data/config/locales/en.yml

@@ -8,6 +8,9 @@ en:
         organization_name: Organization
         organization_url: Organization URL
         redirect_uri: Redirect URI
+        refresh_tokens: Refresh tokens
+        refresh_tokens_enabled: Refresh tokens enabled
+        scopes: Available scopes
       organization:
         address: SMTP hostname
         from_email: Email address
@@ -39,12 +42,28 @@ en:
   decidim:
     system:
       actions:
+        api_user:
+          hidden_secret: Secret is hidden
+          hide_secret: Hide Secret
+          secret_can_not_be_shown: the API secret can be only seen or copied after creation
+          show_secret: Show secret
+          shown_secret: Secret is shown
+        api_users:
+          create: Create
+          new: New API user
+          remove: Remove user
         confirm_destroy: Are you sure you want to delete this?
+        confirm_refresh_api_secret: Are you sure you want to refresh the secret for this API user? After the refresh, the old secret will be invalid and can no longer be used.
+        confirm_remove_api_user: Are you sure you want to remove this API user?
+        copied: Copied
+        copy_secret: Copy secret
+        copy_secret_clarification: Copy secret to the clipboard
         destroy: Delete
         edit: Edit
         new_admin: New admin
         new_oauth_application: New OAUTH application
         new_organization: New organization
+        refresh_secret: Refresh secret
         save: Save
         title: Actions
       admins:
@@ -64,6 +83,25 @@ en:
         update:
           error: There was a problem updating this admin.
           success: Admin successfully updated.
+      api_user:
+        create:
+          error: API user creation failed.
+          success: API user created successfully. The secret for the user is only visible after creation. Please copy it and store it safely before leaving this page!
+        destroy:
+          success: API user successfully deleted.
+        refresh:
+          error: Something went wrong! Please try again later.
+          success: Secret refreshed successfully. The secret for the user is only visible after creation. Please copy it and store it safely before leaving this page!
+      api_users:
+        index:
+          explanation_html: |
+            <p>API users allow integration developers to add administrative machine user accounts to the system. These machine users can act as administrators on the platform to perform updates that normal administrators would perform through the administration panel. A typical use case is an external management platform where an automated script would perform administrative tasks with the platform without a real user having to authenticate to the system. For example, an automation system might want to send answers to proposals in which case we need an integration user to perform this task within this platform.</p>
+            <p>The main difference between these accounts and normal administrator accounts is that these users are meant to be used by machines and therefore their password requirements are different. These users do not need to regularly update their password and changing the account password can happen in a managed way when needed.</p>
+            <p>These credentials are meant to be used by machines. Participant-facing applications should be integrated with <a href="%{oauth_link}">OAuth applications</a>.</p>
+          manage: Manage API users
+        new:
+          select_organization: Select your organization
+          title: Create new API user
       dashboard:
         show:
           admins: Admins
@@ -92,6 +130,7 @@ en:
             sign_up: Create an account
       menu:
         admins: Admins
+        api_credentials: API credentials
         dashboard: Dashboard
         oauth_applications: OAuth applications
         organizations: Organizations
@@ -102,6 +141,15 @@ en:
             email: Email
           validations:
             email_uniqueness: another admin with the same email already exists
+        api_user:
+          fields:
+            created_at: Created at
+            key: Key
+            name: Name
+            organization: Organization
+            secret: Secret
+          validations:
+            name_uniqueness: An API user with this name already exists.
         oauth_application:
           fields:
             created_at: Created at
@@ -128,6 +176,30 @@ en:
           save: Save
           title: Edit application
         form:
+          application_type:
+            confidential:
+              explanation: Applications that are able to securely authenticate with the authorization server, for example being able to keep their registered client secret safe. Typically an application running on a server where the client secret is stored.
+              name: Confidential
+            public:
+              explanation: Applications that are unable to use registered client secrets, such as applications running in a browser or on a mobile device.
+              name: Public
+          application_type_help_html: 'The OAuth client type as defined by <a href="%{client_type_link}" target="_blank">RFC 6749 Section 2.1</a>. Public clients need to implement the PKCE flow as defined by <a href="%{pkce_link}" target="_blank">RFC 7636</a>.
+
+            '
+          refresh_tokens_help_html: 'Refresh tokens are useful in case the token needs a longer lifetime than what is assigned for the access token. Note that <strong>refresh tokens should be used carefully</strong> because they can weaken the security of your users.
+
+            '
+          scopes_explanation:
+            api:read: Allows the user to perform query operations through the GraphQL API.
+            api:write: Allows the user to perform mutation operations through the GraphQL API.
+            profile: Provides access to the user's own profile details. Only this scope is needed in case the OAuth application is only used as an identity provider or an authentication service.
+            user: Ability to act as the signed in user with the given token during calls to the GraphQL API. This is required for all api:write operations or api:read operations that need information about the current user.
+          scopes_help_html: |
+            The selected scopes will be available for the connected applications to request during the authorization process. The user will be presented details about the authorization request when they sign in using OAuth.
+            <br>
+            Different scopes provide different features for the authenticated user using the granted access tokens.
+            <br>
+            <strong>Note:</strong> If you only need to authenticate the users to your external applications, you only need the <strong>profile</strong> scope. Applications interacting with the Decidim API require other scopes as well.
           select_organization: Select an organization
         index:
           confirm_delete: Are you sure you want to delete this application?
@@ -217,6 +289,7 @@ en:
           intro: |
             Please be extra cautious when considering to change these settings. The less you allow, the better.
             Allowing specific file extensions or MIME types can expose the system users to security risks and it can also affect the accessibility of the website.
+        header_snippets_help_html: Use this field to add things to the HTML head. The most common use is to integrate third-party services that require some extra JavaScript or CSS. Also, you can use it to add extra meta tags to the HTML. Note that this will only be rendered in public pages, not in the admin section. If the code interacts with external APIs or does not comply with the application security guidelines, it will be necessary to change the Content Security Policy. Read more about <a href="https://docs.decidim.org/develop/en/customize/content_security_policy">on the documentation site</a> .
         index:
           title: Organizations
         new: