Wie gesagt, vergiss nicht das Logout am Schluss um die SessionID entsprechend wieder freizugeben und damit wieder Platz zu machen.Gerti hat geschrieben: ↑21.02.2023, 09:09Ich speicher die ID zwischen, muss aber automatisch eine neue erzeugen, falls die irgendwann nicht mehr gültig sein sollte. Dafür hatte ich die gespeicherte ID manipuliert um das zu provozieren. Da war dann recht schnell Schluss mit IDs.Du solltest natürlich die SessionID am besten für einen gewissen Zeitraum zwischenspeichern und nicht bei jeder bedienung dir automatisch immer eine neue geben lassen. Auch solltest du natürlich ein logout irgendwann machen damit die SessionID wieder freigegeben wird.
RFC: Kommende XML-API CCU Addon 2.0 Version
Moderator: Co-Administratoren
- jmaus
- Beiträge: 9819
- Registriert: 17.02.2015, 14:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Dresden
- Hat sich bedankt: 459 Mal
- Danksagung erhalten: 1856 Mal
- Kontaktdaten:
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
RaspberryMatic 3.75.6.20240316 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal /
-
- Beiträge: 3000
- Registriert: 28.01.2016, 18:06
- System: CCU
- Wohnort: Hürth
- Hat sich bedankt: 16 Mal
- Danksagung erhalten: 260 Mal
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Hi,
eigentlich ist kein Logout vorgesehen, da die Visualisierung dauerhaft mit der CCU verbunden ist und die Session daher dauerhaft aktiv bleibt.
Es kann daher eigentlich nur durch einen Neustart der CCU zu einer ungültigen Session kommen, so dass ich eine neue erzeugen muss.
Gruß
Gerti
eigentlich ist kein Logout vorgesehen, da die Visualisierung dauerhaft mit der CCU verbunden ist und die Session daher dauerhaft aktiv bleibt.
Es kann daher eigentlich nur durch einen Neustart der CCU zu einer ungültigen Session kommen, so dass ich eine neue erzeugen muss.
Gruß
Gerti
- jmaus
- Beiträge: 9819
- Registriert: 17.02.2015, 14:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Dresden
- Hat sich bedankt: 459 Mal
- Danksagung erhalten: 1856 Mal
- Kontaktdaten:
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Du hast doch gerade irgenwas davon gesprochen das du zwar zwischenspeicherst, dann aber die nicht mehr gültig machst. Oder ich hab was falsch verstanden. Du solltest halt drauf achten das es nicht dazu kommen kann das dauern eine neue sessionID generiert wird solange noch die alte aktiv ist. Deshalb ggf. eben eine SessionID "zurückgeben" via logout in der xml-api bevor du versuchst unendlich viele neue sessionids zu genieren.Gerti hat geschrieben: ↑21.02.2023, 09:51eigentlich ist kein Logout vorgesehen, da die Visualisierung dauerhaft mit der CCU verbunden ist und die Session daher dauerhaft aktiv bleibt.
Es kann daher eigentlich nur durch einen Neustart der CCU zu einer ungültigen Session kommen, so dass ich eine neue erzeugen muss.
RaspberryMatic 3.75.6.20240316 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal /
- deimos
- Beiträge: 5383
- Registriert: 20.06.2017, 10:38
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Leimersheim
- Hat sich bedankt: 121 Mal
- Danksagung erhalten: 950 Mal
- Kontaktdaten:
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Hi,
und genau hier sieht man schön, warum ich Stateless Auth mit Tokens ins Spiel gebracht habe.
Viele Grüße
Alex
und genau hier sieht man schön, warum ich Stateless Auth mit Tokens ins Spiel gebracht habe.
Viele Grüße
Alex
- jmaus
- Beiträge: 9819
- Registriert: 17.02.2015, 14:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Dresden
- Hat sich bedankt: 459 Mal
- Danksagung erhalten: 1856 Mal
- Kontaktdaten:
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Ich bin da voll bei dir Alex. Ich scheue bisher jedoch noch den Aufwand die Verwaltungsoberfläche für solche Auth-Tokens irgendwo in der WebUI allgemein oder gar in jedem Addon selbst umsetzen zu müssen. Wenn das aber gerne jemand motiviert ist und machen will bin ich gerne bereit das noch in die XML-API v2 oder gar in die WebUI der RaspberryMatic einfließen zu lassen.
RaspberryMatic 3.75.6.20240316 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal /
- deimos
- Beiträge: 5383
- Registriert: 20.06.2017, 10:38
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Leimersheim
- Hat sich bedankt: 121 Mal
- Danksagung erhalten: 950 Mal
- Kontaktdaten:
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Hi,
das Problem ist aber, dass du mit einer halbgaren Lösung die Arbeit hochtreibst bei den Entwicklern, welche die Schnittstelle nutzen und im Zweifel auch ziemliche Probleme der Nutzer in Kauf nimmst für einen überschaubaren Sicherheitsgewinn. Und wenn man das dann richtig umsetzt, dann müssen die Entwickler wieder ran.
Als Schnellschuß die Firewall Lödung würde genauso helfen. Klar, es wird dann wieder Leute geben, die das umgehen und sich ein Einfallstor bauen, aber die wird es bei jeder Lösung geben und auf die würde ich keine Rücksicht nehmen bei einem System, bei dem nur diese ein Problem bekommen, wenn sie Löcher bauen.
Viele Grüße
Alex
das Problem ist aber, dass du mit einer halbgaren Lösung die Arbeit hochtreibst bei den Entwicklern, welche die Schnittstelle nutzen und im Zweifel auch ziemliche Probleme der Nutzer in Kauf nimmst für einen überschaubaren Sicherheitsgewinn. Und wenn man das dann richtig umsetzt, dann müssen die Entwickler wieder ran.
Als Schnellschuß die Firewall Lödung würde genauso helfen. Klar, es wird dann wieder Leute geben, die das umgehen und sich ein Einfallstor bauen, aber die wird es bei jeder Lösung geben und auf die würde ich keine Rücksicht nehmen bei einem System, bei dem nur diese ein Problem bekommen, wenn sie Löcher bauen.
Viele Grüße
Alex
- jmaus
- Beiträge: 9819
- Registriert: 17.02.2015, 14:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Dresden
- Hat sich bedankt: 459 Mal
- Danksagung erhalten: 1856 Mal
- Kontaktdaten:
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Welche "Firewall Lösung" meinst du genau?
RaspberryMatic 3.75.6.20240316 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal /
-
- Beiträge: 12085
- Registriert: 20.11.2016, 20:01
- Hat sich bedankt: 847 Mal
- Danksagung erhalten: 2139 Mal
- Kontaktdaten:
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Die Alternative für "Faule" ist, einfach bei der alten XML-API Addon Version zu bleiben.
Auch ich habe früher mal angefangen, mir mit Wemos-Boards über die XML API per Wifi Systemvariablen zu setzen.
Weil es simpel umzusetzen ist und mir der andere Weg über Port 8181 damals nicht bekannt war.
Und da hier ja jeder meint, zu wissen, was die Mehrheit macht, streue ich hier auch mal meine Mehrheitsvermutung ein:
Wer nach dem Update auf Version 2.0 festellt, dass seine bisherige (Uralt-)Lösung nicht mehr funktioniert, geht wieder auf die ältere Addon Version.
...sofern es sie noch gibt bzw. sie Lust haben, sich damit auseinanderzusetzen.
Das ist das, was ich mit
auch ausdrücken wollte.
-
- Beiträge: 3000
- Registriert: 28.01.2016, 18:06
- System: CCU
- Wohnort: Hürth
- Hat sich bedankt: 16 Mal
- Danksagung erhalten: 260 Mal
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Hi,
In der Praxis wird eine Session erzeugt und die so lange verwendet, bis diese als Rückgabe als ungültig gemeldet wird und dadurch eine neue Session angefragt wird.
Gruß
Gerti
Das hatte ich nur bei der Entwicklung gemacht um zu testen, ob von meinem PHP Skript automatisch eine neue Session angefragt wird, wenn die alte ungültig ist und es ohne sichtbare Unterbrechung funktioniert.jmaus hat geschrieben: ↑21.02.2023, 10:01Du hast doch gerade irgenwas davon gesprochen das du zwar zwischenspeicherst, dann aber die nicht mehr gültig machst. Oder ich hab was falsch verstanden. Du solltest halt drauf achten das es nicht dazu kommen kann das dauern eine neue sessionID generiert wird solange noch die alte aktiv ist. Deshalb ggf. eben eine SessionID "zurückgeben" via logout in der xml-api bevor du versuchst unendlich viele neue sessionids zu genieren.
In der Praxis wird eine Session erzeugt und die so lange verwendet, bis diese als Rückgabe als ungültig gemeldet wird und dadurch eine neue Session angefragt wird.
Gruß
Gerti
- deimos
- Beiträge: 5383
- Registriert: 20.06.2017, 10:38
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Leimersheim
- Hat sich bedankt: 121 Mal
- Danksagung erhalten: 950 Mal
- Kontaktdaten:
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Hi,
Alex
Diese hier, die du bereits selbst kommentiert hast:
Viele Grüße
Alex