Alternative Loginmöglichkeit API

Technik & Fragen
1

Hallo,

wir würden gerne für eine Anwendung zur Datensynchronisation auf die API Schnittstelle zugreifen. Gibt es auch eine alternative Login Methode neben O-Auth für die API? Das wäre bei Diensten ohne Webfrontend deutlich einfacher.

Oder bietet ihr eventuell den OAuth Device Authorization Grant an?

Danke schon mal!

2

Hallo @Benedikt_Oehlrich

herzlich Willkommen hier im Forum :slight_smile: !

Einen client credentials grant, der für machine-to-machine authentication gedacht ist, bieten wir aktuell nicht an. Dieser funktioniert ohne User-Context, wofür unsere Endpunkte nicht ausgelegt sind.

Ein üblicher Weg ist eine Kombination aus Authorization code grant in Kombination mit dem Refresh Token Grant. Beides ist hier sehr gut beschrieben.

Die Idee:

  • Du meldest dich einmalig per Browser über den Auth-Code-Flow am HiOrg-Server an.

  • Dabei bekommst du ein Access-Token und ein Refresh-Token.

  • Mit dem Access-Token rufst du die API auf.

  • Wenn es abläuft, holst du dir mit dem Refresh-Token automatisch ein neues Paar.

So musst du dich nur einmal einloggen, danach läuft alles im Hintergrund weiter.

Gerne können wir dir dafür einen OAuth-Client einrichten. Dafür brauchen wir von dir:

  • die Redirect-URL deiner Anwendung

  • ggf. eine kurze Info, welche Bereiche/Scopes du nutzen möchtest

Schick uns dazu einfach eine E-Mail an support@hiorg-server.de. Wir unterstützen dich auch gerne bei der Einrichtung.

Viele Grüße
Felix

3

Hallo Felix,

danke für die Antwort.

Technisch ist im Device Authentivation Grant durchaus ein User Context möglich, da sich ja der User mit seinen Credentials im Browser anmeldet und wie bei eurem normalen Oauth Login auch die Rechte für diesen Auth und Refresh Token bestätigt. Lediglich das Abholen des Tokens erfolgt eben nicht wie üblich im Redirect sondern über das Gerät. (Das ist z.B. der übliche Loginweg bei Netflix und Co auf dem Fernseher bei dem der QR Code auf dem Bildschirm gescannt wird und dann das Login im Browser auf dem Handy erfolgt.)

Der normale Login Flow ist für uns leider nicht praktikabel, da wir bei dieser Anwendung kein Webfrontend haben werden auf das wir einen Redirect machen können.

Viele Grüße,
Benedikt

4

Verstehe. Device Authentication Grant wird von unserem Auth-Server derzeit leider nicht unterstützt.

Sofern keine Möglichkeit besteht, bei der Anwendung einen HTTP-Endpunkt bereitzustellen, der den Auth-Code entgegennimmt, können wir hier aktuell leider nichts tun :frowning:

Viele Grüße
Felix