[Stempel] Dokument informacyjny i API

[Franklin Garamond]

Ostatnia wiadomość z poprzedniej strony wątku

Chciałem zgłosić dla @Sheldon Anszlus Robingren, że mam powiadomienie o @ z komentarza pod sarmackim artykułem, który linkuje do "https://stempel.org.pl/pt.".

[Sheldon Anszlus Robingren]

Chciałem zgłosić dla @Sheldon Anszlus Robingren, że mam powiadomienie o @ z komentarza pod sarmackim artykułem, który linkuje do "https://stempel.org.pl/pt.".

Problem występuje po stronie Sarmackiej, która zwraca

Kod: Zaznacz cały

URL: "pt."

Wyślę wiadomość do Prokrutesa, aby zobaczył na to w wolnej chwili

[Helwetyk Romański]

Królestwo Fenocji odpięte. Nie doczekaliśmy się pieczątek. 😥

[Prokrustir I Siwy]

Nie wiem czy to jest "to" miejsce ale chciałbym prosić o klucz do api - taki żebym mógł umożliwić logowanie się do prostej aplikacji kodem Stempla.

[Sheldon Anszlus Robingren]

Nie wiem czy to jest "to" miejsce ale chciałbym prosić o klucz do api - taki żebym mógł umożliwić logowanie się do prostej aplikacji kodem Stempla.

Potrzebujesz do Sarmacji czy nowej aplikacji? Pytam, ponieważ posiadasz już jeden kod API i może wystarczy go przypomnieć?

[Prokrustir I Siwy]

Potrzebujesz do Sarmacji czy nowej aplikacji? Pytam, ponieważ posiadasz już jeden kod API i może wystarczy go przypomnieć?

Do nowej aplikacji i nie pod auspicjami NIA - więc wolę osobny.

Ale też jest to zasadne pytanie na przyszłość - czy każda osobna aplikacja powinna mieć swój klucz (co pewnie w realu byłoby wskazane) czy też z perspektywy Stempla nie ma to znaczenia bo poza tym, że jakiś klucz musi być to nie ma znaczenia który to.

[Helwetyk Romański]

Ale też jest to zasadne pytanie na przyszłość - czy każda osobna aplikacja powinna mieć swój klucz (co pewnie w realu byłoby wskazane) czy też z perspektywy Stempla nie ma to znaczenia bo poza tym, że jakiś klucz musi być to nie ma znaczenia który to.

Powinna, nawet zdecydowanie. Odchodzimy od logowania hasłami jednorazowymi na rzecz… logowania hasłami jednorazowymi, ale w tle (przykład: https://mia.leocja.org/). Więc: nazwa aplikacji oraz odsyłacz, pod który pacjent wróci z hasłem jednorazowym w parametrze GET.

[Prokrustir I Siwy]

Tak, o wiele bardziej przyjemnie niż wklejanie kodu. No i można przejść na nieco dłuższe kody może.

Czy to przekierowanie zwrotne następuje na adres wywołujący czy jakiś skonfigurowany dla tej aplikacji ?

Tak czy siak - jak najbardziej osobny klucz.

[Sheldon Anszlus Robingren]

Ale też jest to zasadne pytanie na przyszłość - czy każda osobna aplikacja powinna mieć swój klucz (co pewnie w realu byłoby wskazane) czy też z perspektywy Stempla nie ma to znaczenia bo poza tym, że jakiś klucz musi być to nie ma znaczenia który to.

Tak jak wyżej wspomniał Helwetyk, dołożę telko, że jest możliwość sprawdzenia ostatnich logowań poprzez https://stempel.org.pl/haslo-jednorazowe

[Sheldon Anszlus Robingren]

Tak, o wiele bardziej przyjemnie niż wklejanie kodu. No i można przejść na nieco dłuższe kody może.

Czy to przekierowanie zwrotne następuje na adres wywołujący czy jakiś skonfigurowany dla tej aplikacji ?

Tak czy siak - jak najbardziej osobny klucz.

Przekierowania następuje na adres, który jest dodany w stemplu.
Działa na zasadzie przekierowania na link example.com/logowanie.php?jakiesrandomowyget=HASLO_JEDNPORAZOWE


@edit Podsyłam kod na discordzie

[Helwetyk Romański]

No i można przejść na nieco dłuższe kody może.

Jest faktyczna potrzeba? Obecne hasła jednorazowe to miliard kombinacji. Przy 10 zapytaniach na sekundę, a myślę, że więcej nie ma sensu zakładać (zwłaszcza, że pewnie tutaj odezwie się firewall), brute force to 100 000 000 sekund, czyli 1157 dni. Realne szanse pojawiają się, o ile pamiętam, w okolicach połowy tej liczby.

Czy to przekierowanie zwrotne następuje na adres wywołujący czy jakiś skonfigurowany dla tej aplikacji?

Skonfigurowany. Na przykładzie MIA — okno logowania jest tak naprawdę odsyłaczem do https://stempel.org.pl/redirect/login/mia. Stempel odsyła zalogowanego użytkownika z powrotem, doklejając do skonfigurowanego adresu hasło jednorazowe w parametrze GET. Wtedy MIA odpytuje Stempel o poprawność otrzymanego hasła jednorazowego. Dlatego do aplikacji można zalogować się zarówno z poziomu jej serwisu internetowego, jak i bezpośrednio ze Stempla.