Login poprzez post na api.grono.net/pub/apilogin/ nie jest już jedyną dostępną metodą autoryzacji. Kolejną (być może nie ostatnią) jest korzystanie z tokena, więcej w dokumentacji.

Tymczasem w skrócie: wykonujecie GET lub POST na adres pobierania tokena, otrzymujecie krótko ważny token na żądany zasób. W kolejnych zapytaniach dołączacie token jako parametr w GET lub POST (zależnie od typu requesta) zamiast ciasteczek sesji. I tyle!

Niestety, bezpieczeństwo takiego rodzaju autoryzacji jest kiepskie, ponieważ hasło wysyłamy plaintextem, a ukradziony token to wszystko, czego potrzeba by dostać dostęp do zasobów Grona. Usprawiedliwić można to tylko tym, że standardowy sposób logowania oferuje równie niski poziom zabezpieczenia.

W przyszłości zamierzamy wprowadzić, również opartą na tokenach, bezpieczniejszą metodę autoryzacji, zbliżoną do Google AuthSub czy Flickr Auth API. Jak zwykle obserwujcie to miejsce, i zaprojektujcie swoje programy tak, aby łatwo było można wymienić moduł autoryzacji.