http://apidoc.grono.net/articles/2007/10/25/tokeny en-us 40 <p>Nie wszystkie środowiska w których piszecie widgety konkursowe spełniają wymagania <span class="caps">API</span>: obsługę <span class="caps">POST</span> i ciasteczek. Przykładem niech będą widgety pisane pod iGoogle. Problem dostrzegliśmy jakiś czas temu, i dziś wprowadzamy jego rozwiązanie.</p> <p>Login poprzez post na <code>api.grono.net/pub/apilogin/</code> nie jest już jedyną dostępną metodą autoryzacji. Kolejną (być może nie ostatnią) jest korzystanie z tokena, więcej w <a href="http://apidoc.grono.net/trac/wiki/Tokeny">dokumentacji</a>.</p> <p>Tymczasem w skrócie: wykonujecie <span class="caps">GET</span> lub <span class="caps">POST</span> na adres pobierania tokena, otrzymujecie krótko ważny token na żądany zasób. W kolejnych zapytaniach dołączacie token jako parametr w <span class="caps">GET</span> lub <span class="caps">POST</span> (zależnie od typu requesta) zamiast ciasteczek sesji. I tyle!</p> <p>Niestety, bezpieczeństwo takiego rodzaju autoryzacji jest kiepskie, ponieważ hasło wysyłamy plaintextem, a ukradziony token to wszystko, czego potrzeba by dostać dostęp do zasobów Grona. Usprawiedliwić można to tylko tym, że standardowy sposób logowania oferuje równie niski poziom zabezpieczenia.</p> <p>W przyszłości zamierzamy wprowadzić, również opartą na tokenach, bezpieczniejszą metodę autoryzacji, zbliżoną do Google AuthSub czy Flickr Auth <span class="caps">API</span>. Jak zwykle obserwujcie to miejsce, i zaprojektujcie swoje programy tak, aby łatwo było można wymienić moduł autoryzacji.</p> Thu, 25 Oct 2007 17:54:00 +0200 urn:uuid:8b5beeeb-ea5d-4ef8-85c3-2fe7df314066 k3rni http://apidoc.grono.net/articles/2007/10/25/tokeny Konkursy login autoryzacja tokeny problem z blimpem jest znany, naprawię dziś. a limit po prostu przeoczyłem - zauważcie że nie ma go w żadnej domenie :) Mon, 29 Oct 2007 08:17:14 +0100 urn:uuid:4f5a4c31-8d29-4287-9d19-f2c41fa638e6 http://apidoc.grono.net/articles/2007/10/25/tokeny#comment-89 coś jest nie tak. nie mogę pobrać ani blimpa ani limitu transferu. dla blimpa podaję domenę profile, a dla limitu gallery i w obydwu przypadkach dostaję zwrot apilogin.token.expired.or.incorrect Sat, 27 Oct 2007 22:02:23 +0200 urn:uuid:0ef72ac5-0b35-419b-a42f-f6a464c5255f http://apidoc.grono.net/articles/2007/10/25/tokeny#comment-88 ważna rzecz: po zalogowaniu się, dostaniesz również ciasteczka sesji, i jeśli będziesz je przechowywać i przekazywać z następnymi requestami, możesz natrafić na następujący caveat: 1. masz token na zasób A, ale zapomniałeś o nim, bo masz ciastka sesji 2. idziesz na zasób B (masz ciasteczka sesji więc powinien działać) 3. a tu nagle 403 - bo token jest ważniejszy od sesji miejcie to na uwadze. Fri, 26 Oct 2007 09:58:45 +0200 urn:uuid:dfbdea33-694b-4b06-afef-bfb4593b7085 http://apidoc.grono.net/articles/2007/10/25/tokeny#comment-87 zwracam honor. wina nowego webkita idącego z safari3 Thu, 25 Oct 2007 22:05:13 +0200 urn:uuid:5faa15ee-eec7-4a60-979a-8dd2675789ff http://apidoc.grono.net/articles/2007/10/25/tokeny#comment-86 do powyżej: o ile jeśli zaloguję się przez safari to wszystko jest w porządku. cookies zostaje zapisany i wszystko jest ok. przy logowaniu przez api dostaję wiadomość, że że logowanie ok i przy następnym wywołaniu xmlhttprequest'a dostaje że autoryzacja nie powiodła się. mogę dać głowę, że jeszcze jakiś czas temu wszystko działało. Thu, 25 Oct 2007 21:57:39 +0200 urn:uuid:01cfe346-f80f-4efe-9436-1e26b4b8dea3 http://apidoc.grono.net/articles/2007/10/25/tokeny#comment-85 a czy przypadkiem stare logowanie do api nie zostało w jakiś sposób uszkodzone? od wczoraj mam problemy z trzymaniem sesji. Thu, 25 Oct 2007 21:24:48 +0200 urn:uuid:df491953-89dd-47e8-a068-91b869c0e0ed http://apidoc.grono.net/articles/2007/10/25/tokeny#comment-84