• Aktuell
    • Tags
    • Beliebt
    • Benutzer
    • Gruppen
    • Suche
    • Registrieren
    • Anmelden

    CORS: Unauthenticated API erlauben

    ChurchTools Schnittstellen
    1
    1
    266
    Lade mehr Beiträge
    • Älteste zuerst
    • Neuste zuerst
    • Meiste Stimmen
    Antworten
    • In einem neuen Thema antworten
    Anmelden zum Antworten
    Dieses Thema wurde gelöscht. Nur Nutzer mit entsprechenden Rechten können es sehen.
    • S
      stbuehler
      zuletzt editiert von

      Hi,

      es wäre super, wenn öffentliche Daten von fremden Seiten aus über die API zugänglich wären (konkretes Beispiel: Kalendereinträge anzeigen).

      Technisch kann man natürlich einen eigenen Proxy-Server betreiben, der die API zugänglich macht (Cookies für die eigentliche ChurchTools-Instanz würden ja nicht an den Proxy-Server gesendet werden), aber das bedeutet Betrieb zusätzlicher Infrastruktur.

      Wenn man Seiten in /settings/integrations/api/cors einträgt, können diese auch authenticated API-Requests senden (da der Server Access-Control-Allow-Credentials: true zurückgibt); für die Abfrage von öffentlichen Daten ist das aber eigentlich nicht nötig.

      Es wäre also hilfreich, wenn die API für Requests ohne Credentials CORS öffnen würde, also den Wert des Origin:-Request-Headers für Access-Control-Allow-Origin verwendet (ohne Access-Control-Allow-Credentials: true oder explizit auf false). Zusätzlich sollten vermutlich Cookie und Origin in den Vary:-Header aufgenommen werden.

      Man könnte natürlich auch eine zweite Liste bauen, wo man Seiten für "unauthenticated API" freischalten kann (oder ein Flag an die Freischaltung packen).

      Viele Grüße,
      Stefan

      1 Antwort Letzte Antwort Antworten Zitieren 0
      • Erster Beitrag
        Letzter Beitrag