[vz-dev] Zugang zum Frontend absichern

Jakob Hirsch jh at plonk.de
Thu Jan 12 16:38:38 CET 2012


pe82 at gmx.de, 2012-01-12 15:21:
> Meine Absicht: Ich will mich am Server authentifizieren, sodass a)
> niemand anderes Kanäle anlegen kann und b) niemand einen Nutzen von
> meiner UUID hat. Aus Sicherheitsgründen erfolgt die Verbindung über
> SSL.
> 
> Vorgehensweise: Der vhost domain.com:80 leitet weiter auf
> domain.com:443 Der vhost domain.com:443 kümmert sich auch um die
> Authentifizierung

Die Frage war ja, wie du sicherstellst, daß du nur von deinem eigenen
Frontend deine Daten lesen kannst. Ich nehme mal an, du benutzt dafür
domain.com:443 mit dem Umstand, daß der Browser automatisch die
Anmeldedaten beim Zugriff auf domain.com:443/middleware/ mitschickt,
wenn er sich bei domain.com:443/frontend/ angemeldet hat.

> Eine mögliche Lösung: operation=whatever nur bei GET erlauben, da der
> Parameter (soweit ichs überblicken kann) nur als Unterstützung beim
> Testen gedacht ist sodass man über den Browser alle Befehle der API
> ausnutzen kann.

Ist wohl so, aber ich bezweifle mal, daß das die richtige Lösung ist.
Der nächste möchte vielleicht nur GET zulassen und läuft dann auf das
selbe Problem.

Aber du kannst doch in rewrite-rules auch auf den QUERY_STRING
zugreifen. Damit könntest du auf operation= matchen und den Request
ablehnen. Wobei, gerade bei POST kann man das auch im Request
mitschicken, damit wäre also nichts gewonnen. Du könntest die Größe des
request-body begrenzen, sowas wie BODY_SIZE gibt's wohl leider nicht,
eine Alternative wäre LimitRequestBody 1 (0 ist unlimited) für den
controller-vhost verhindern, das überhaupt (sinnvolle) POST-Daten
übergeben werden (der e6-watchasync benutzt auch bei POST
URL-Parameter). Ist aber schon etwas hacky das ganze...



More information about the volkszaehler-dev mailing list