[vz-dev] Testing Pull Request 659 / jwt - Add basic login capabilities

Andreas Goetz cpuidle at gmail.com
Sun Jan 21 16:59:19 CET 2018 

Hallo,

> On 21. Jan 2018, at 15:50, Daniel Lauckner <vz at jahp.de> wrote:
> 
> Hallo,
> 
> 
> am Sonntag, 21. Januar 2018 um 15:42 hat Frank Richter geschrieben:
>> Wer seine Cookies löscht, muss sich halt danach im Frontend neu
>> anmelden, aber das ist ja bei anderen Seiten nicht anders.
> 
> Ja, und es nervt.

Dann tu’s nicht :)

Wie Frank schrieb:

> Aber wenn du nichts an der Standardconfig änderst, sind GET-Requests eh nicht betroffen, du wirst also beim normalen Zugriff aufs Frontend nicht von einer Passwortabfrage behelligt.

Also kein Problem. In der Diskussion ging es darum wie man den Zugriff von außen vernageln kann und trotzdem noch mit vzlogger reinkommen.

> 
> Kann man User/Passwort auch mit der URL übergeben?

Nein, sicher nicht. Weil das Passwort bei absolut jedem Proxy im Logfile landen würde.

@Frank: Cookie geht jetzt auch:

			// authorization header?
			if (($header = $request->headers->get('Authorization')) && (0 !== strpos($header, 'Bearer '))) {
				$jwt = substr($header, strlen('Bearer '));
			}
			// authorization cookie?
			elseif ($cookie = $request->cookies->get('vz_authtoken')) {
				$jwt = explode('@', $cookie)[0]; // split @middleware portion
			}
			else {
				throw new \Exception('Missing authorization token');
			}

Ich schiebs bei Gelegenheit in den PR.


> Anpassung des Installscripts bzgl. Firewall-Einstellungen sollten wir dann auf die Agenda setzen. Zusätzlich sollten wir diesen Part vielleicht als Extra-Script liefern, damit die Image-User sich das passend konfigurieren können, ohne das komplette Installscript nochmal durchzuackern. Das Image sollte dann am besten ohne eingetragenen secretkey geliefert werden, oder?
> Aus meiner Sicht damit “fertig”.

Brauchen wir egtl. alles nicht. Der interne Zugriff geht auch ohne, extern sollte man überlegen was man da tut.

Weil ich im PV Forum gesehen habe: wenn irgendwer mit HTTP 500 ankommt lautet die Frage immer was in /var/log/apache2/error.log steht- das kann man dann auch hier zur Diagnose gebrauchen.

Damit aus meiner Sicht “fertig”.

> 
> mfg Daniel
> 

Viele Grüße, Andreas

More information about the volkszaehler-dev mailing list