Ideed
0
ACL - lista kontroli dostępu zamiast wymagania hasła allegrowiczów
przyda się wprowadzić dawanie uprawnień dla aplikacji z webapi przez użytkowników allegro.
to powinno istnieć zamiast logowania na czyjeś konto, zamiast używania zakodowanej wersji czyjegoś hasła, itp.
po co allegrowicze mają dawać hasła do swoich kont dla aplikacji webapi ?
(niedopuszczalna praktyka w normalnym API)
nie rozumiem dlaczego twórcy webapi jeszcze tego nie wprowadzili.
jednocześnie proszenie allegrowiczów o webapi key aby działać w ich imieniu jest niezalecane.
zabronione jest także parsowanie stron allegro.pl.
no to prosimy od przemysłany system uprawnień dla aplikacji webapi (ACL)
- skorzystają wszyscy (także allegro).
każdy użytkownik allegro powinien móc zdecydować jaki rodzaj dostępu chce zaoferować aplikcji używająccej webapi.
- domyślnie powinien być pełen dostęp do wszystkiego co może przeczytać każdy na stronie allegro.pl bez logowania.
- edycja aukcji
- dostęp do danych klientów
- wystawianie aukcji
- ...
proponuje nie tworzyć jednak zbyt długiej listy, lecz sprowadzić to do 2-4 pozycji (do przemyslenia)
to powinno istnieć zamiast logowania na czyjeś konto, zamiast używania zakodowanej wersji czyjegoś hasła, itp.
po co allegrowicze mają dawać hasła do swoich kont dla aplikacji webapi ?
(niedopuszczalna praktyka w normalnym API)
nie rozumiem dlaczego twórcy webapi jeszcze tego nie wprowadzili.
jednocześnie proszenie allegrowiczów o webapi key aby działać w ich imieniu jest niezalecane.
zabronione jest także parsowanie stron allegro.pl.
no to prosimy od przemysłany system uprawnień dla aplikacji webapi (ACL)
- skorzystają wszyscy (także allegro).
każdy użytkownik allegro powinien móc zdecydować jaki rodzaj dostępu chce zaoferować aplikcji używająccej webapi.
- domyślnie powinien być pełen dostęp do wszystkiego co może przeczytać każdy na stronie allegro.pl bez logowania.
- edycja aukcji
- dostęp do danych klientów
- wystawianie aukcji
- ...
proponuje nie tworzyć jednak zbyt długiej listy, lecz sprowadzić to do 2-4 pozycji (do przemyslenia)
Customer support service by UserEcho
w panelu allegro zakładka "Uprawnienia dla aplikacji zewnętrznych"
i tam pozycja np: "pełen dostęp do aukcji dla aplikacji" i lista do wyboru zarejestrowanych webapi aplikacji (search).
albo lepiej - można też zrobić tak:
aplikacja z WebAPI wysyła request do allegro - na specjalną stronę gdzie klient allegro i aplikacji webapi może się zalogować na swoje konto allegro i wyklikać uprawnienia dla aplikacji i potem opcjonalnie allegro przesyła wynik operacji do aplikacji webapi.
następnie aplikacja webapi ma dostęp do danego konta allegro i operacji na nim (nawet bez hasła i bez tokena - bo za każdym razem allegro.pl sprawdza czy jest zautoryzowana para klient_allegro - id_aplikacji_webapi)
może tu być token autoryzujący, ale jest zbyteczny - chyba, że autoryzacja miałaby być ograniczona czasowo - wtedy token ma racje bycia.
zaleta tutaj jest podwójna: łatwość przydzielania praw - nawet w iframe/popup na stronie aplikacji webapi.
a dwa to ułatwienie komunikacji w API.
teraz jest tak, że API żąda hasła (wprost lub zakodowanej wersji wygenerowanej z podstawowej)
ujawnianie haseł nie jest dobre - i nie jest potrzebne w API.
zagrożeniem jest dostęp do finansów klientów allegro.
zmiana hasła w allegro też wpływa na używanie webapi.