[vz-dev] Umgang mit Middleware-Requests in Installationen mit JWT access control

[Frank Richter]

Hallo Leute, insbesondere Justin,

bei Tests mit der Authentifizierung-Lösung von Andreas (PR #551) ist die
Frage aufgetaucht, wie man in diesem Fall am besten mit Requests an die MW
umgeht.
Das Frontend fügt nach erfolgreichem Login per u/p in jeden Request-Header
das JSON-Token ein. Wenn ich nun zu Debug- oder Datenexport-Zwecken die MW
direkt aufrufe, fehlt das Token und der Request wird logischerweise
abgelehnt.
Laut Andreas gäbe es die Möglichkeit, die MW das als Cookie gespeicherte
Auth-Token vom Client auslesen und nutzen zu lassen. Gibt es dagegen
sicherheitstechnische Bedenken?

Viele Grüße
Frank
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://demo.volkszaehler.org/pipermail/volkszaehler-dev/attachments/20170205/98daf5df/attachment.html>