Wylogowanie z API

k3rni — Mon, 05 Nov 2007 13:20:00 +0100

Jeśli korzystacie z ciasteczek sesji, zamiast tokenów, wiecie że nie było opcji wylogowania się. Od teraz jest – zapraszam do czytania (krótkiej) dokumentacji.

Nowa metoda autoryzacji

k3rni — Thu, 25 Oct 2007 17:54:00 +0200

Nie wszystkie środowiska w których piszecie widgety konkursowe spełniają wymagania API: obsługę POST i ciasteczek. Przykładem niech będą widgety pisane pod iGoogle. Problem dostrzegliśmy jakiś czas temu, i dziś wprowadzamy jego rozwiązanie.

Login poprzez post na api.grono.net/pub/apilogin/ nie jest już jedyną dostępną metodą autoryzacji. Kolejną (być może nie ostatnią) jest korzystanie z tokena, więcej w dokumentacji.

Tymczasem w skrócie: wykonujecie GET lub POST na adres pobierania tokena, otrzymujecie krótko ważny token na żądany zasób. W kolejnych zapytaniach dołączacie token jako parametr w GET lub POST (zależnie od typu requesta) zamiast ciasteczek sesji. I tyle!

Niestety, bezpieczeństwo takiego rodzaju autoryzacji jest kiepskie, ponieważ hasło wysyłamy plaintextem, a ukradziony token to wszystko, czego potrzeba by dostać dostęp do zasobów Grona. Usprawiedliwić można to tylko tym, że standardowy sposób logowania oferuje równie niski poziom zabezpieczenia.

W przyszłości zamierzamy wprowadzić, również opartą na tokenach, bezpieczniejszą metodę autoryzacji, zbliżoną do Google AuthSub czy Flickr Auth API. Jak zwykle obserwujcie to miejsce, i zaprojektujcie swoje programy tak, aby łatwo było można wymienić moduł autoryzacji.

APIDoc: Tag autoryzacja

Wylogowanie z API

Nowa metoda autoryzacji