ich würde folgende vorgehensweise vorschlagen, um sich per oauth zu authentifizieren.
- zwei neue felder in oxuser: OXAUTH (tinyint) und OXAUTHKEY (varchar)
- OXAUTHKEY = api-key
- OXAUTH = user darf api nutzen: ja/nein
mit dem vorhandenen apikey kann ein user dann an die api andocken.
wird bei einem request ein gültiger api-key gefunden (OXAUTH true) darf der user sich am REST anmelden,
bekommt einen session-token, welcher eine definierte zeit gültig ist und kann loslegen.
fragen:
a) alle damit einverstanden?
b) wollen wir die vorgänge loggen? (anmeldeversuch, ip, etc?)
c) wie lang soll der token gültig sein?
Joscha to english
I think we should do it in the following way for oAuth:
- Adding two new fields in oxuser: OXAUTH (tinyint) and OXAUTHKEY (varchar)
- OXAUTHKEY = api-key
- OXAUTH = user is able to use the api: yes/no
With the apikey the user could authentificate against the api. Is a valid key found, the session-token will be generated and set for a limited time.
questions:
a) anyone ack?
b) should we track these things (Loggins, IP,...)
c) how long should a token be valid?
ich würde folgende vorgehensweise vorschlagen, um sich per oauth zu authentifizieren.
mit dem vorhandenen apikey kann ein user dann an die api andocken.
wird bei einem request ein gültiger api-key gefunden (OXAUTH true) darf der user sich am REST anmelden,
bekommt einen session-token, welcher eine definierte zeit gültig ist und kann loslegen.
fragen:
a) alle damit einverstanden?
b) wollen wir die vorgänge loggen? (anmeldeversuch, ip, etc?)
c) wie lang soll der token gültig sein?
Joscha to english
I think we should do it in the following way for oAuth:
With the apikey the user could authentificate against the api. Is a valid key found, the session-token will be generated and set for a limited time.
questions:
a) anyone ack?
b) should we track these things (Loggins, IP,...)
c) how long should a token be valid?