Agent per Javascript/Ajax aufrufen, Authentifizierung?

[schroederk]

Hallo,

ich würde gerne einen Agenten über einen Webserver aufrufen.
Mittels

Code

https://myserver.com/path/database.nsf?AgentName?OpenAgent&Parameter1&Parameter2

funktioniert das schon ganz gut, aber jetzt würde ich das gerne in ein Ajax-Konstrukt einbauen.

Aber wie übergebe ich jetzt die passenden Authentifizierungsdaten?
Einfach ein Username:Passwort vor dem Servernamen?
Oder ist der Ansatz schon falsch?

Folgendes Script funktioniert leider nicht (der Klick erzeugt weder einen Fehler noch eine Ausgabe)

Code

<HTML>
<HEAD>
<TITLE> Test: Lotus Notes Agent starten </TITLE>

<script type="text/javascript">

function createXMLHttpRequest() {
	var ua;
	if(window.XMLHttpRequest) {
	  try { ua = new XMLHttpRequest(); }
	  catch(e) { ua = false; }
	} else if(window.ActiveXObject) {
	  try { ua = new ActiveXObject('Microsoft.XMLHTTP'); }
	  catch(e) { ua = false; }
	}
	return ua;
}

var req = createXMLHttpRequest();

function notesagent(server,mailbox,agentname,parameter) {
	var req = createXMLHttpRequest();
	req.onreadystatechange = function() {
		switch(req.readyState) {
			case 0:
			case 1:
			case 2:
			case 3: return;
			case 4: break;
		}
		resulttext = req.responseText;
		document.getElementById("test").innerHTML = resulttext;
	}
	req.open('get', 'https://username:passwort@'+server+'/'+mailbox+'/'+agentname+'?OpenAgent&'+parameter);
	req.send(null);
}

</script>

</HEAD>
<BODY>

<input type="button" value="Klick mich" onClick="notesagent('myserver.com','TestAgent','eins&zwei&drei&vier');">

<div id="test"></div>

</BODY>
</HTML>

[atbits]

Das hängt meines Wissens nach auch und vor Allem von der Authentifizierungsmethode des Servers ab (Basic-Auth, Session).

Was nutzt ihr?

Grüße David

[atbits]

Mittels Dojo
http://docs.dojocampus.org/dojo/xhrGet

[schroederk]

Wir verwenden Session Authentication.
Dojo kommt (leider) nicht in Frage, da wird dieses Framework auf dem Webserver nicht einsetzen.

[schroederk]

Ich muss mich (leider) korrigieren... es gibt tatsächlich eine Fehlermeldung:

Fehler: uncaught exception: [Exception... "Access to restricted URI denied"  code: "1012" nsresult: "0x805303f4 (NS_ERROR_DOM_BAD_URI)"  location: "http://webserver/test/notesagent.php Line: 41"]

Kann es sein, dass Ajax keine fremden Seiten von einem anderen Server akzeptiert? Oder zumindest die Firefox-Security?

[m3]

Mehrere Punkte:
1) AJAX funktioniert prinzipiell nur, wenn der Request zur gleichen Internetdomain geschickt wird, von der auch die initiale Seite geladen wurde. Ansonsten würde man sehr schnell in ein Cross Site Scripting Problem laufen.
Siehe Link von abits:

dojo.xhrGet (and other functions in the same line: dojo.xhrPost, dojo.xhrDelete, dojo.xhrPut), are bound by the 'same domain' security policy of the browser. This means that they can only establish a connection back to the same server that served the HTML page. If you wish to use this API to talk to servers other than the one that originated your page, then you will have to use a proxy on your originating server and have it forward the requests. The only other solution to working around the same domain restriction is to use alternate IO methods, such as dojo.io.script.

2) AJAX unterstützt keine Domino Sesson authentication. Ihr müsst daher

a) den Domino-Server mit der initialen Seite auch in die Domain hängen und dann domainweites SSO aktivieren - dann sollte der Aufruf kein Problem sein.

b) - sollte die initiale Seite nicht von einem Domino Server kommen oder SSO keine Option sein  - eine "Override Session Authentication" Web Rule einrichten, um die Authentication für den Agent Aufruf auf Basic umzudrehen.
Aber ACHTUNG: Auch wenn Du den Request über eine SSL-Verbdindung schickst, stehen Usernamen/Passwort in der initialen Seite im Klartext drinnen - Zugangssicherung ist das keine mehr, da kannst Du den Agent gleich für Anonymous frei schalten.

[pram]

Hallo,

1) AJAX funktioniert prinzipiell nur, wenn der Request zur gleichen Internetdomain geschickt wird, von der auch die initiale Seite geladen wurde. Ansonsten würde man sehr schnell in ein Cross Site Scripting Problem laufen.

Das ist prinzipiell richtig, man kann aber durch Ändern der Response-HTTP-Header (wenn man es kann und darf) auf andere Domains zugreifen, siehe hier:
http://www.w3.org/TR/access-control/
bzw. nach "ajax cross origin" googlen

zu 2b

Aber ACHTUNG: Auch wenn Du den Request über eine SSL-Verbdindung schickst, stehen Usernamen/Passwort in der initialen Seite im Klartext drinnen - Zugangssicherung ist das keine mehr, da kannst Du den Agent gleich für Anonymous frei schalten.

Diese wäreaber nur auf dem PC des Absenders sichtbar und ist deshalb auch nicht von anderen sichtbar. Natürlich darf man das Passwort nicht im Quelltext ausliefern, sondern müsste (*) aus den HTTP-Headern der gerade geöffneten Seite den "Authorization" Header auslesen und beim nächsten XHR-Request übergeben. Der Browser macht das halt automatisch, wenn die URL's auf gleicher Domain liegen.
*) da ich auswendig nicht weiß wie man an diese Header ran kommt und ich bei google einige Beiträge gelesen habe, dass man in einem XHR-Request bei manchen Browsern den "Authorization" Header nicht ändern kann ist dies wohl nicht der richtige Weg.

ach ja und http(s)://username:passwort@... ist nicht standardisiert und funktioniert nur bis IE6 und bei Firefox kommt eine Warnung.

Fazit: dir bleibt nur SSO oder der Agent läuft auf ohne Authentifizierung.

Gruß
Roland

[schroederk]

Wenn ich den Agenten ohne Authentifizierung laufen lassen würde,
habe ich dennoch die Möglichkeit auszulesen, wer den Aufruf gemacht hat?
Die IP-Adresse würde schon reichen, da ja nur der Webserver dürfte und diese IP fix ist.

[schroederk]

Wie stelle ich denn die Sicherheit um, damit der Agent auch unter Anonymous läuft?
Ich habe unter den Einstellungen des Agenten unter Sicherheit das Häkchen bei "Als Webbenutzer ausführen",
beim Vorgabezugriff nur Anonymous angehakt und ebenfalls "Benutzer mit öffentl. Zugriff dürfen Agenten ausführen"

Dennoch wird beim Aufruf des Agenten im Browser das Authentifizierungsfenster angezeigt.

Ich versuche im Moment die Seite mittels cUrl vom Domino zu bekommen.
Ich bin mir recht sicher, dass darüber auch eine Authentifizierung möglich wäre, wenn die richtigen Parameter noch gesetzt werden (die ich bisher noch nicht gefunden habe)

Code

function open_https_url($url,$refer,$usecookie) {
    if ($usecookie) {
        if (file_exists($usecookie)) {
            if (!is_writable($usecookie)) {
                return "Error: Can't write to $usecookie cookie file, create an empty cookie.txt file in same folder as script";
            }
        } else {
            $usecookie = "cookie.txt";
            if (!is_writable($usecookie)) {
                return "Error: Can't write to $usecookie cookie file, create an empty cookie.txt file in same folder as script";
            }
        }
    }
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
    curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2);
	curl_setopt($ch, CURL_HTTP_VERSION_1_1, true); 
    curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)");
    if ($usecookie) {
        curl_setopt($ch, CURLOPT_COOKIEJAR, $usecookie);
        curl_setopt($ch, CURLOPT_COOKIEFILE, $usecookie);   
    }
    if ($refer != "") {
        curl_setopt($ch, CURLOPT_REFERER, $refer );
    }
    curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
	$result = curl_exec ($ch);
	$info = curl_getinfo($ch);
	if ($result === false || $info['http_code'] != 200) {
		$result = "Error: No cURL data returned for $url [". $info['http_code']. "]";
		if (curl_error($ch)) {
			$result .= "\n". curl_error($ch);
		}
	}
	curl_close ($ch);
	return $result;
}

$dateiurl = "https://myserver.com/mtester.nsf/TestAgent?OpenAgent&test1&test2&test3";

$datei = open_https_url($dateiurl,"",true);

print $datei;

[pram]

Wie gesagt du müsstest den Autorization Header setzen:

http://stackoverflow.com/questions/1304974/set-authorization-header-using-php-and-curl

Autorization header ist normalerweise "Basic " + base64(User+":"+Passwort)

http://en.wikipedia.org/wiki/Basic_access_authentication

Wenn ich den Agenten ohne Authentifizierung laufen lassen würde,
habe ich dennoch die Möglichkeit auszulesen, wer den Aufruf gemacht hat?

Du musst auf der Javascript-Seite irgendwie den Usernamen ermitteln und dann beim Request übergeben, dafür könntest du dir eine HTML-Page (oder JS-Page) am Domino machen mit Durchgangshtml:
<script>
var user = "<computed value auf @username>"
</script>
und diese einbetten oder per <script src=...> laden

Gruß
Roland
Gruß
Roland

[schroederk]

folgender Source-Code liefert als Ergebnis immer: "Error: No cURL data returned for..."
Unabhängig davon ob ich korrekte Zugangsdaten verwende oder nicht:

Code

	$ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);

	curl_setopt ($ch, CURLOPT_HTTPAUTH, "CURL_AUTH_BASIC");
	curl_setopt ($ch, CURLOPT_USERPWD, $credentials);
	curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
	curl_setopt ($ch, CURLOPT_SSLVERSION, 3);

	$headers = array(
				"POST ".$page." HTTP/1.0",
				"Accept: text/html",
				"Cache-Control: no-cache",
				"Pragma: no-cache",
				"Authorization: Basic " . base64_encode($credentials)
			); 

    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
    curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2);
	curl_setopt($ch, CURL_HTTP_VERSION_1_1, true); 
    curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)");
    if ($usecookie) {
        curl_setopt($ch, CURLOPT_COOKIEJAR, $usecookie);
        curl_setopt($ch, CURLOPT_COOKIEFILE, $usecookie);   
    }
    if ($refer != "") {
        curl_setopt($ch, CURLOPT_REFERER, $refer );
    }
    curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
	$result = curl_exec ($ch);

Wenn ich diesen Code verwende, dann erhalte ich überhaupt kein Ergebnis. Auch unabhängig davon, ob ich korrekte Credentials verwende oder nicht.

Code

$headers = array(
	"POST ".$page." HTTP/1.0",
	"Accept: text/html",
	"Cache-Control: no-cache",
	"Pragma: no-cache",
	"Authorization: Basic " . base64_encode($credentials)
);

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,$url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_TIMEOUT, 60);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
curl_setopt($ch, CURLOPT_USERAGENT, $defined_vars['HTTP_USER_AGENT']);

$data = curl_exec($ch); 

Wenn ich per Javascript den Benutzer (oder die IP) ermittle, hab ich ja nicht wirklich gewonnen, da ein anonymer Aufruf über der Browser dann ja auch möglich ist und mein Javascript dann gar nicht ausgeführt wird.
Gibts mit Lotusscript Boardmitteln keine Möglichkeit die IP-Adresse des Clients herauszufinden?

[pram]

Gibts mit Lotusscript Boardmitteln keine Möglichkeit die IP-Adresse des Clients herauszufinden?

Doch das ginge in dem du das Feld REMOTE_ADDR aus dem Context-Doc ausliest (achtung Feld muss in einer Maske als "computed for display" existieren, sonst kann man es im webQueryOpen-Agent nicht auslesen)
Das bringt dir aber nichts, sobald ein Proxy/NAT/Loadbalacer/Terminalserver/... eingesetzt wird. IP-basierte Authentifizierung halte ich jedenfalls für problematisch.

Erklär evtl mal etwas genauer was du machen willst, insb. auf welchem Server Domino/PHP läuft und von wo nach wo zugegriffen werden soll und wo welche Authentifizierung läuft.

Wenn ich diesen Code verwende....

Schau doch mal ob du mit deinem Code prinzipiell Daten holen kannst, z.B. in dem du einfach mal eine URL eingibst die keine Authentifizierung erfordert (z.B. von http://www.google.de).
Da der Code am PHP-Server ausgeführt wird, kann es auch sein, dass diese keinen Zugriff auf den Zielserver (Stichwort Firewall/Proxy/DNS-Auflösung) hat

Gruß
Roland

[atbits]

Wieso denn nun auf einmal Php?
Ich dachte wir bewegen uns im Domino-Umfeld?

[pram]

er postet doch oben PHP-Code (zumindest das cURL-Zeug sieht ganz nach PHP aus), drum bin ich ja so verwirrt  

[umi]

Ich würde mal den Haken bei  "Als Webbenutzer ausführen" entfernen.
was für Rechte hat den der User Anonymous ?

evtl. hilft Dir auch das weiter:
http://www.codestore.net/store.nsf/unid/BLOG-20081010?OpenDocument

[m3]

Wenn ich den Agenten ohne Authentifizierung laufen lassen würde,
habe ich dennoch die Möglichkeit auszulesen, wer den Aufruf gemacht hat?
Die IP-Adresse würde schon reichen, da ja nur der Webserver dürfte und diese IP fix ist.

Oh, eine IP-Adresse ist leicht zu fälschen ...

[schroederk]

Wieso denn nun auf einmal Php?
Ich dachte wir bewegen uns im Domino-Umfeld?

Naja, gepostet hab ich hier, weil ich mit speziellen Anforderungen für das Ausführen eines Lotus Notes-Agenten gerechnet hat.
Aber mir ist klar, dass es Notes quasi nur tangiert und überwiegend PHP ist.

Doch das ginge in dem du das Feld REMOTE_ADDR aus dem Context-Doc ausliest (achtung Feld muss in einer Maske als "computed for display" existieren, welche Authentifizierung läuft.

Der Designer hat mir dieses Feld nicht vorgeschlagen, aber ich das klingt nach einem guten Ansatz.

Das Ganze soll im internen Netz laufen, alle Clients haben feste IPs, vorallem der interne Webserver (reiner Apache, PHP).
Und wenn ich seitens des Agenten sicherstellen kann, dass der Aufruf eben von diesem internen Webserver stattfindet, dann wäre das gelöst.

Hintergrund ist der, dass ich derzeit recht umfangreich die COM-Schnittstelle nutze, diese aber aus welchen Gründen auch immer häufig Performance-Probleme zeigt und sogar den Apache auf dem Webserver zum Absturz bringt.
Daher wollte ich einige spezielle zeitintensive Aufgaben von einem Agenten übernehmen lassen.
Alternativer Ansatz wäre mit einer Art Queue zu arbeiten in der Aufgaben gepuffert und abgearbeitet werden, aber damit fehlt der synchrone Ablauf und zeitnahe korrekte Rückmeldungen.

[m3]

OK, Du hast eine HTML-Seite mit JS, die mit PHP aufgebaut wird. Aus dieser Seite heraus willst Du einen Notes-Webagent aufrufen.

Hast Du schon mal mitgensift (Firebug, Fiddler), ob das, was Du da so zusammenbastelst, auch korrekt übermittelt wird?

[atbits]

Nur nochmal für mich zum Verständnis des Szenarios.
Du willst mit einem PhP-Script einen Lotus Domino WebAgent per Ajax callen?

[atbits]

Ist Dir eigentlich klar was wo ausgeführt wird?
Weil Wenn Php das Html-Frontend generiert, dann fängst Du mit dem genannten Feld im Designer gar nix an - Du hast ja gar keine Maske - oder doch?