MyBB.de Forum
User-ID per API wechseln? (Zur Berechtigungsprüfung) - Druckversion

+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: Sonstiges (https://www.mybb.de/forum/forum-1.html)
+--- Forum: Programmierung (https://www.mybb.de/forum/forum-32.html)
+--- Thema: User-ID per API wechseln? (Zur Berechtigungsprüfung) (/thread-22352.html)



User-ID per API wechseln? (Zur Berechtigungsprüfung) - icarus - 16.05.2010

Moin!

Ich bin mit meinen Tests für mein zu erstellendes Plugin weit vorangeschritten, derzeit erstelle ich eine API, damit ich die Foren-Funktionalitäten auch außerhalb des Forums nutzen kann. (Ich muss von einem Programm, das wahrscheinlich per REST aufgerufen wird, Beiträge erstellen, löschen oder ändern).

Die API kann diese Funktionen bereits erledigen, wichtig ist aber natürlich die Berechtigungprüfung, für die es aber ja auch Funktionen gibt (die ich im Quelltext finden kann und bereits auch gefunden habe)

Nun ist nur das Problem, dass ich Posts im Namen verschiedenster User durchführen muss, ohne dass ich natürlich deren Passwörter kenne.

Gibt es eine Funktion, dass ich mich als ein (Admin-)User per API anmelde und dann sage: "Und nun tue so, als wärest Du User XYZ"?

Oder wie kann ich sauber die Berechtigungen für eine vorzugebende User-ID prüfen?

Danke!

Michael


RE: User-ID per API wechseln? (Zur Berechtigungsprüfung) - StefanT - 17.05.2010

Das ist überhaupt kein Problem. Bei den Datahandlern kannst du jede beliebige User-ID übergeben. So wird hier z.B. im Namen des Bots gepostet ohne dass dieser überhaupt benutzt wird.
In wie weit da die Rechte überprüft werden, kann ich dir spontan nicht sagen, aber das kommt ja darauf an, was du benötigst.


RE: User-ID per API wechseln? (Zur Berechtigungsprüfung) - icarus - 17.05.2010

Moin!
(17.05.2010, 09:33)StefanT schrieb: Das ist überhaupt kein Problem. Bei den Datahandlern kannst du jede beliebige User-ID übergeben. So wird hier z.B. im Namen des Bots gepostet ohne dass dieser überhaupt benutzt wird.
Das habe ich schon gesehen. Wobei man aber an sich wohl angemeldet sein muss, damit es überhaupt geht.
Zitat:In wie weit da die Rechte überprüft werden, kann ich dir spontan nicht sagen, aber das kommt ja darauf an, was du benötigst.
Die Rechte sind schon sehr wichtig. Es soll niemand diese Schnittstelle nutzen können, um irgendwohin zu schreiben, wo er dies nicht darf.

Soweit ich den Originalquelltext verstanden habe, ist die Berechtigungsprüfung unabhängig von Befehl, der die Nachricht schreibt, dementsprechend muss ich wohl was machen.

Michael


RE: User-ID per API wechseln? (Zur Berechtigungsprüfung) - StefanT - 17.05.2010

Man muss für die Datahandler gar nicht angemeldet sein...
Die Rechte müsstest du dann in deiner Schnittstelle selber abfragen, wobei das ja nicht so kompliziert ist.