utros 26.02.2012 10:39 pedobook

Таки взял себя в руки и сел писать апи для пстача.
Возник вопрос с авторизацией. Я что-то не очень хочу париться с OAuth и думаю запилить что-нибудь простое вроде базовой аутентификации поверх HTTPS или выдачи ID сессии как сейчас на вебморде.
Потому вопрос к потенциальным пользователям: какой (из предложенных или какой-то другой) метод вам более импонирует и почему?

dev, psto
Recommended by: @d1ffuz0r
#oinzgg
re 26 comments !recommend ~bookmark Ssubscribe
1. vt 26.02.2012 10:40

базовой достаточно, с https вообще хорошо

#oinzgg/1
rereply
2. gelraen 26.02.2012 10:42 imax

SID с привязкой к клиенту/ІР и инвалидированием всех старых при повторной аутентификации

#oinzgg/2
rereply
3. Rayslava 26.02.2012 10:43 AHHE

базовая по https вполне сгодится. А почему OAuth не хочешь, вроде библиотек готовых много сейчас?\

#oinzgg/3
rereply
4. gelraen 26.02.2012 10:45

Что именно предполагается делать через это API ?

#oinzgg/4
rereply
5. d1ffuz0rgelraen /4 26.02.2012 10:46 БЕТОНОМЕШАЛКА

сейчас придумают жаббер 2.0 с костылями и велоспедиками

#oinzgg/5
rereply
6. utrosgelraen /4 26.02.2012 10:49 pedobook

Дать доступ к основной функциональности пстоща (чтение и создание постов, комментирование), может что-нибудь ещё.
Сейчас закончу прототипирование и выложу черновую документацию.

#oinzgg/6
rereply
7. utrosgelraen /2 26.02.2012 10:51 pedobook

Ок.
Ситуация: ты используешь два приложения: одно с телефона, другое с десктопа.
Ну и дальше при аутентификации одного, второе будет тебе говорить, что надо бы аутентифиироваться, и наоборот.

#oinzgg/7
rereply
8. gelraenutros /7 26.02.2012 10:52 imax

логин/пароль же все равно надо в настройках впечатывать, не?

#oinzgg/8
rereply
9. utrosgelraen /8 26.02.2012 10:53 pedobook

Ну ок, будут на каждый запрос долбить пстощ запросами аутентификации.

#oinzgg/9
rereply
10. gelraenutros /9 26.02.2012 10:54 imax

а при basic auth over https разве не то же говно получится? :3

#oinzgg/10
rereply
11. utrosgelraen /10 26.02.2012 10:54 pedobook

Нет :)

#oinzgg/11
rereply
12. Rayslavagelraen /10 26.02.2012 10:54 AHHE

Зато быстро и просто :3

#oinzgg/12
rereply
13. Rayslava 26.02.2012 10:54 AHHE

Главное — не забудь предусмотреть какой-нибудь gzip для потока, а то на еже/жопорезе будет весьма грустно

#oinzgg/13
rereply
14. gelraenutros /11 26.02.2012 10:54 imax

что нет? логин/пароль будут передаваться при каждом запросе и каждый раз их надо будет проверять

#oinzgg/14
rereply
15. utrosRayslava /13 26.02.2012 10:55 pedobook

Оно через nginx ходить будет, он позаботится.

#oinzgg/15
rereply
16. Rayslavautros /15 26.02.2012 10:55 AHHE

Ок.

#oinzgg/16
rereply
17. utrosRayslava /13 26.02.2012 10:58 pedobook

M: мобильный клиент с медленным интернетом, Д: десктоп с быстрым.
Д > аутентификация
Д < SID
М > запрос
M < 403
M > аутентификация
M < SID
Д > запрос
Д < 403
Д > аутентификация
Д < SID
М > запрос
M < 403

#oinzgg/17
rereply
18. utrosutros /17 26.02.2012 10:59 pedobook

То есть если кто-то будет тормозить,то он может вообще никогда не отправить свой запрос.

#oinzgg/18
rereply
19. SirAnthony 26.02.2012 10:59 home

Один запрос, который принимае имя пользователя и пароль-что-то-там и возвращает какой-нибудь токен. Все равно все одной библиотечной функцией делается клиентской стороны. Как это реализовать — не проблемы клиентов.

#oinzgg/19
rereply
20. Rayslavautros /18 26.02.2012 10:59 AHHE

И это печально

#oinzgg/20
rereply
21. gelraenutros /17 26.02.2012 11:00 imax

окей, уговорил

#oinzgg/21
rereply
22. arts 26.02.2012 11:06

Будешь писать — зови функции из app/*, там весь основной функционал.

#oinzgg/22
rereply
23. utrosarts /22 26.02.2012 11:07 pedobook

ШТО

#oinzgg/23
rereply
24. d1ffuz0rutros /23 26.02.2012 11:12

arts в треде, все в app/ !

#oinzgg/24
rereply
25. utros 26.02.2012 14:24 pedobook

Собсна, обещаный черновик: http://psto.net/oinofh

#oinzgg/25
rereply
27. utros238328 /26 26.02.2012 15:12 pedobook

Покажи готовые годные решения

#oinzgg/27
rereply
Do you really want to delete ?