oauth authentifizierung #4
Description
ich würde folgende vorgehensweise vorschlagen, um sich per oauth zu authentifizieren.
- zwei neue felder in oxuser: OXAUTH (tinyint) und OXAUTHKEY (varchar)
- OXAUTHKEY = api-key
- OXAUTH = user darf api nutzen: ja/nein
mit dem vorhandenen apikey kann ein user dann an die api andocken.
wird bei einem request ein gültiger api-key gefunden (OXAUTH true) darf der user sich am REST anmelden,
bekommt einen session-token, welcher eine definierte zeit gültig ist und kann loslegen.
fragen:
a) alle damit einverstanden?
b) wollen wir die vorgänge loggen? (anmeldeversuch, ip, etc?)
c) wie lang soll der token gültig sein?
Joscha to english
I think we should do it in the following way for oAuth:
- Adding two new fields in oxuser: OXAUTH (tinyint) and OXAUTHKEY (varchar)
- OXAUTHKEY = api-key
- OXAUTH = user is able to use the api: yes/no
With the apikey the user could authentificate against the api. Is a valid key found, the session-token will be generated and set for a limited time.
questions:
a) anyone ack?
b) should we track these things (Loggins, IP,...)
c) how long should a token be valid?