Passwort bei API-Call offen mitsenden?



  • Hallo
    Ich bin daran, mich etwas in ChurchTools einzulesen, um evt. vom Song-Portal ProSong aus auf ChurchTools zuzugreifen (Songs)

    Nun habe ich festgestellt, dass die API mit eMail/Passwort arbeitet.
    Ist das nicht etwas gar fahrlässig, über einen offenen HTTP Request ein Passwort zu senden?
    Von anderen APIs bin ich mir gewohnt, mit Tokens zu arbeiten.

    Zudem fehlt mir eine Übersicht, was alles mit der ChurchTools API möglich ist.

    Liebe Grüsse
    Simu



  • Klar, offenes http wäre fahrlässig, aber man sollte ChurchTools ja sowieso per https (SSL-verschlüsselt) betreiben, und wenn dann die Daten, wie in der API-Doku beschrieben, per POST-Request an ChurchTools geschickt werden, wird das Passwort ebenfalls verschlüsselt übertragen.


  • ChurchToolsMitarbeiter

    Genau und außerdem kann man sich ein Token holen. Schau mal hier:
    https://api.churchtools.de/class-CTLoginModule.html


Log in to reply