[vz-dev] Zugang zum Frontend absichern

pe82 at gmx.de pe82 at gmx.de
Thu Jan 12 13:25:20 CET 2012


Moin,

> > Wäre es denkbar den Parameter nur bei Aufrufen über GET zu
> berücksichtigen?
> 
> Bitte nicht, das ist m.E. ein übler Hack, der zu inkonsistem Verhalten
> führt.
Ist nicht der operation-Parameter selbst schon ein Komfort-Hack? Laut API-Referenz soll ja anhand von GET/POST/DELETE/PULL unterschieden werden. Ich will diese Hilfs-/Testfunktion ja nur auf das nötige Maß beschränken.

> Wie das eigentliche Problem damit gelöst werden soll, ist mir
> auch nicht klar. M.E. ist es (aktuell) nicht möglich festzustellen, ob
> ein GET-Request von einem lokalen Frontend kommt oder von einem auf
> einem anderen Server.
Diese Unterscheidung will ich auch garnicht treffen. Was ich machen will ist nur POST und middleware.php/data/... erlauben. Also nur Daten hinzufügen.
Das einzige Problem dabei: Auch wenn ich ein POST sende (z.B. mit curl) kann ich die Operation noch verbiegen, indem ich operation=get als POST-Parameter mitsende.
Ich hatte jetzt den operation-Parameter so verstanden, dass er es möglich machen soll, auch vom Browser aus (also per GET) ein Add oder delete oder was auch immer zu verwenden.
Meine Frage dazu war jetzt nur: Gibt es Usecases von denen ich nichts weiß, bei dem der operation-Parameter bei einem Aufruf via POST, DELETE oder PULL benötigt wird?
Da der Parameter in der API-Referenz nicht auftaucht hatte ich es für mich als Hilfsfunktion verstanden, frag aber lieber nochmal nach.

Gruß,
Pepe


More information about the volkszaehler-dev mailing list