Domino 9 und frühere Versionen > ND9: Entwicklung

REST Services für Notes Dokumente ermöglichen?

<< < (2/2)

Bruce Willis:

--- Zitat von: umi am 29.03.17 - 13:38:00 ---Schon mal probiert zuerst den einen authentication request zu schicken bzw. sicher gestellt, dass der REST Client das entsprechende Session Cookie mitschickt ?

--- Ende Zitat ---

Hi,

Danke, leider schon probiert... :(

Hier wird gefragt:
http://localhost:80/api/data/
danach schicke ich aus dem gleichen REST Client Fenster das:
http://localhost:80/test.nsf/api/data/collections/name/Adressen
http://localhost:80/test.nsf/api/data/documents/unid/9721E84AF9E25C4AC1257AE200598E50
und zurück kommen keine vernünftigen Daten.

Wenn ich Anonymous in die DB ACL hinzufüge, dann funktioniert das Ganze, aber so darf es nicht produktiv sein...

Gruß
Leo

Bruce Willis:

--- Zitat von: Fitz am 29.03.17 - 13:40:11 ---https://www-10.lotus.com/ldd/ddwiki.nsf/dx/Authenticating_Domino_REST_Service_Requests?open

Vielleicht hilft er Dir weiter.

--- Ende Zitat ---
Danke, Bernd.
Ist zwar sehr interessant, klappt's aber immer noch nicht... :(

Sven Hasselbach:
Wie greifen denn die Endanwender auf die Applikation zu? Wohl kaum über einen REST Client...


--- Zitat von: Fitz am 29.03.17 - 12:34:28 ---Ich vermute ohne login keine Daten.

--- Ende Zitat ---
Exakt. Woher soll der Server auch wissen, wer man ist?

Wie umi schon schrieb, muss der REST Client eine Authorization Header mitschicken, der dann die Usercredentials beinhaltet, beispielsweise

Authorization: Basic QWxhZGRpbjpPcGVuU2VzYW1l

Bitte nur per SSL nutzen, sonst kann der Header (und damit gültige Authentifizierungsdaten) gestohlen werden. Alternativ kann man auch andere Verfahren (z.B. LTPA Token) verwenden, je nachdem, was bei Euch im Einsatz ist.

Der Standard REST Service von Domino ist höchst problematisch und es sollte wohl überlegt sein, diesen einzusetzen. Hintergrund ist, dass der Service jedes beliebige Feld manipulieren kann, was ggf. über die Business Logik in der Applikation selbst verhindert wurde (=> Maske etc). Security-technisch ein Alptraum...
Schau Dir mal SmartNSF an, da gibt es bessere Möglichkeiten. Das Projekt ist zwar noch in der Beta-Phase, aber die Entwickler geben zur Zeit wirklich Vollgas, was die Weiterentwicklung betrifft. Die IBM ist da auch involviert, ist also sehr zukunftsträchtig.

Bruce Willis:
Vielen Dank!

Der REST Client von Chrome namens "Advanced REST Client" scheint die Auth zu unterstützen.
Damit klappt es.

Gruß
Leo

Navigation

[0] Themen-Index

[*] Vorherige Sete

Zur normalen Ansicht wechseln