Hallo,
ich bin gerade am Überlegen wie sich die Logging-Funktion bzw. die Authorisierung für's loggen für die [url=http://forum.opencaching-network.org/http://localhost//viewtopic.php?t=7]mobilen Seiten[/url] am Besten umsetzen lässt. Ich habe [url=http://forum.geoclub.de/viewtopic.php?f=40&t=57844]hier[/url] eine etwas älteren Hinweis gefunden, dass OKAPI "nur" Oauth 1.0a unterstützt. Ist das immer noch so?
So wie ich das sehe, würde das bedeuten, dass eine rein Client seitige Lösung z.B. mit JSO nicht machbar sein wird (JSO scheint Oauth 2.0 vorauszusetzen).
Sprich die Authorisierung muss über den "OAuth dance" laufen der wiederum eine auf den Client abgestimmte Server Komponente beinhaltet (die den access token z.B. in ein client cookie schreibt). Prinzipiell ok, ich hatte das schon mal für die OKAPI getestet, der Ansatz würde m.E. aber eine weitere Abhängigkeit der mobilen Implementierung auf eine "fremde" Server Komponente bedeuten (Thema irgendwann re-hosting auf opencaching.de).
Hat jemand eine Meinung dazu?
Danke,
Armin
OKAPI Level 3
-
arminus
Ja dann antworte ich mir mal selbst 
Die aktuelle Implementierung kommt ohne Server-Komponente nicht aus. Weder für die OKAPI Autorisierung, noch für das eigentliche loggen. Diese Komponenten fungieren letztendlich als Proxy da es scheinbar für Oauth 1.0 keine reine JS bzw. Client-Seitige Implementierung gibt.
Außerdem speichere ich den für den Level 3 nötigen AccesToken und das zugehörige Secret als Browser Cookie - ich bin mir nicht sicher ob das sicherheitstechnisch der korrekte Weg ist. Bei der GC Integration speichere ich den AccessToken in einer UserDB auf dem Server, dort findet aber eine login auf der Webseite statt (mit Persona). Dieses User-Management wäre aber für den aktuellen usecase m.e. zu viel overhead.
D.h. einmal autorisiert, das war's - bis die beiden Cookies ablaufen.
Die aktuelle Implementierung kommt ohne Server-Komponente nicht aus. Weder für die OKAPI Autorisierung, noch für das eigentliche loggen. Diese Komponenten fungieren letztendlich als Proxy da es scheinbar für Oauth 1.0 keine reine JS bzw. Client-Seitige Implementierung gibt.Außerdem speichere ich den für den Level 3 nötigen AccesToken und das zugehörige Secret als Browser Cookie - ich bin mir nicht sicher ob das sicherheitstechnisch der korrekte Weg ist. Bei der GC Integration speichere ich den AccessToken in einer UserDB auf dem Server, dort findet aber eine login auf der Webseite statt (mit Persona). Dieses User-Management wäre aber für den aktuellen usecase m.e. zu viel overhead.
D.h. einmal autorisiert, das war's - bis die beiden Cookies ablaufen.