Pålogging for editering

ngu / geonorge-nedlastingapi

An implementation in Java of the Geonorge Download API (https://nedlasting.geonorge.no/Help)

MIT License

4 stars 2 forks source link

Pålogging for editering #14

Closed halset closed 7 years ago

halset commented 7 years ago

For vår egen variant av intern-APIet trenger vi pålogging så ikke hvem som helst kan gjøre hva som helst. Hvordan skal vi gjøre det? Her er noen forslag:

Lage en brukertabell med brukernavn og sha av passordet og kanskje et deleted/enabled flagg.
Droppe pålogging, men sette alt på /api/admin og så er det opp til brukeren å beskytte det URL-rommet med f.eks. en Apache påloggingsmodul.
Lage noe greier som integrerer med noen eksterne påloggingstjenester.

Hva tror du @bgrotan ?

bgrotan commented 7 years ago

Planen er muligens å utvide til noe tokenbasert/openid, mens det som er implementert nå er basic auth.

https://github.com/kartverket/Geonorge.NedlastingAPI/blob/master/Kartverket.Geonorge.Download/authentication.default.config som pekes til fra https://github.com/kartverket/Geonorge.NedlastingAPI/blob/master/Kartverket.Geonorge.Download/Controllers/Api/Internal/DatasetController.cs

halset commented 7 years ago

Fiksa med basic auth nå for /api/internal. SHA-512 av passord i api_user tabellen.

bgrotan commented 7 years ago

Verifisert. Lukker.