wapi.auth_token.delete self

Um geleakte/"gefundene" Auth-Tokens zu löschen, brauchen wir einen Endpunkt, der das mitgelieferte Token löscht/invalidiert. Hierbei muss es reichen, ausschließlich den Token vorliegen zu haben.

added API Feature Request labels

erster ansatz:

• bestehenden endpunkt cntl.wapi_auth.delete erweitern, so dass neben dem parameter gpk auch z.b. ein parameter token_text definiert wird. werden beide angegeben, muessen sie zueinander passen. hier bleibt aber die frage offen, inwieweit diese beiden dann noch mit dem session-auth-token uebereinstimmen muessen
• neuen endpunkt wapi.auth.delete definieren, obwohl die bisherige konvention ist, dass im system wapi keine schreibzugriffe erfolgen und die session unautorisiert sein darf. allein durch kenntnis des token-textes hat der user aber damit automatisch schreibrechte, genau diese funktion auszufuehren. die session-autorisierung kann also wie bisher wegfallen. wird trotzdem ein session-auth-token uebergeben, spielt dieses fuer diese funktion keine rolle, es muss lediglich gueltig sein.

changed milestone to %API 4.2 Release

jetzt in devel eingebaut: wapi.auth.delete unter angabe des token-textes, z.b. als unautorisierte TA:

[
  {
    "name": "wapi.auth.delete",
    "old": { "token": "XXX" }
  }
]

delete hat ja keine return-daten, dh. wenn es keine exception gibt, ist alles ok. und das token wurde geloescht.

wenn die TA aber autorisiert ist, dh. ein access token via http-request-header uebergeben wurde, und dieses token ungueltig ist, wird deswegen eine exception geworfen (egal, ob das zu loeschende token gueltig ist oder nicht).

closed