Hallo, ich möchte gerne mal wissen, welche Zugriffsrechte die REST-API braucht um auf den Shop (Bestellungen, Rechnungen usw.) zugreifen zu können. Muss das ein voller Admin-Zugriff sein oder kann man durch Einschränkungen des Admin-Kontos auch die Eingriffe der REST-API beeinflussen? Viel Grüße Kai Stejuhn
Heißt das, dass wenn jemand die API nutzen möchte, derjenige einen Zugang mit vollen Adminrechten braucht? Oder reicht ein einfacher Nutzerzugang und die API hat dann die Zugriffsrechte?
Nein, da muss schon ein Adminbenutzer genommen werden. Wir haben da noch ein sachliches Problem die neue Technik und die alte Rechteverwaltung zu verheiraten, das tut nicht. Wir müssen das Rechtesystem beizeiten auch ganz von vorn bauen, da ist dann aber wieder noch der alte Kram im Weg... Ich stelle mir vor, dass das nicht ewig so bleibt, aber einen genauen Fahrplan kann ich terminlich gerade nicht gut vorrausorakeln.
Also kann jeder dem ich die Nutzung der REST-API gestatte alles in meinen Shop machen und sehen, da er volle Adminrechte braucht. Sehe ich das jetzt richtig?
Moin, mit anderen Worten, selbst wenn ich nur ein externes Programm zur Bestellabwicklung / Rechnungserstellung nutze, welches über die API den Zugriff auf die Bestellungen benötigt und sonst nichts weiter, würde ich damit die vollen Adminrechte vergeben? Damit ist die API für mich absolut unnutzbar geworden. Selbst wenn keine Absicht dahinter steht, durch die vollen Adminrechte kann so viel kaputt gemacht werden im Shop - das geht gar nicht.
Wir können darüber reden, aber dann lasst uns das mal auf die Usecase Ebene herunterbrechen, das macht nämlich Sinn. Beispiel Rechnungsprogramm oder Warenwirtschaft: Bei allen bisher angebundenen Systemen, über GambioXML oder JTL per JTL Connector und wie sie alle heissen ist der volle Shopzugriff jahrelang gelebter Standard. Diese Dinger durften schon immer alles tun. Wir und die Wawi Hersteller gehen bisher davon aus, dass wenn sich die Tools unterhalten können und eine Authentifizierung stattgefunden hat, jeder alles tun kann und darf. Wir haben hier also keine Änderung, sondern nur eine Übertragung des bisherigen Status Quo auf eine neue API. Wäre das Modell hinreichend kaputt, hätten wir also schon seit Jahren Probleme damit, dass Wawis immer wieder Shops kaputt machen. In der Tat kennen wir das aus Einzelfällen der letzten Jahre, aber das ist kein ständiger Begleiter: Die anderen Systeme wissen zum grossen Teil auch was sie tun. Neu ist, das wir weiter denken: Wir denken es kann Sinn machen, hier eine Art von Rechteaufgliederung zu machen. Wir haben dabei soweit keine perfekt konkreten Fälle im Blick sondern ein paar Visionen. Schildert mal eure Usecases. Das muss nicht konkret auf eine andere spezfische Software bezogen sein, aber wenn wir die Dinger verstehen, können wir da mal zusammen über schlaue Lösungen orakeln.
Hallo Wilken, ich kann Dir nur als Anwender sagen, was ich brauche, für die weiterführenden Themen ist Kai der bessere Ansprechpartner. Ich nutze ein tolles externes Programm zur Erstellung von Rechnungen, Artikelaufklebern, DHL-Versandetiketten und Erstellung einer DATEV-Datei für den Steuerberater. Dieses Programm soll nur eines können - die Bestellungen aus meinem Shop herauslesen. Keine Schreibrechte, keine weiteren Zugriffsrechte auf andere Bereiche. Bisher lief das über eine php-Datei. Mit der neuen 3.1.1.0 Version und GX3 muss es nun die REST-API sein. Wie ich schon oben schrieb, es braucht ja nur einen kleinen Fehler in der Programmierung... Alleine der Gedanke, dass eventuell aus Versehen Bestände verändert werden, lässt mir die Haare zu Berge stehen. Bei über 3.000 Artikeln würde ich das zunächst gar nicht merken und es wäre für mich nicht mehr nachvollziehbar wo der Fehler gemacht wurde. Die Zugriffsrechte müssten eindeutig beschränken, was erlaubt ist und was nicht. LG Elke
Ich sehe gar nicht mal das Problem dabei, das die API den vollen Zugriff hat, sondern eher bei Mitarbeitern, die nicht gut auf jemanden zu sprechen sind und dann einen vollen Zugriff auf das Backend im Shop haben. Wenn man das wenigstens unterbinden könnte, das würde mich schon einen weiten Schritt beruhigen.
Und genau das ist mein Bauchschmerzproblem. Eine eventuelle Veränderung meiner Bestände hiesse Inventur (würg ich hab das I-Wort gesagt) - damit wäre ich tagelang beschäftigt und müsste beide Shops schliessen. Schlimm! Wozu muss ich volle Rechte gewähren, wenn ich nur einen Lesezugriff auf die Bestellungen benötige?
Also ich kenn keine WaWi wo man Mitarbeitern nicht bestimmte Rechte entzieht wenn man sie da ranlässt, und dann eben auch das die Kommunikation mit dem Shop WaWi seitig für den User der WaWid beschränkt wird. Er also gar nciht erst bis zum Shopbestäand ändern Button in der WaWi kommen kann. Meiner Meinung nach müsste da die Haupt-Sperre liegen.
In diesem speziellen Fall geht es nicht um eine WaWi, sondern um einen Fremdanbieter, der die Daten auf seinem Server verabeitet und für bestimmte Sachen aufbereitet. Somit haben wir hier keine Möglichkeit die Zugriffsrechte zu steuern. Mit den Mitarbeitern meinte ich in dem Fall auch eher externe Leute, die schlecht auf den eigenen Chef oder eben auch auf die Kunden zu sprechen sind. Es laufen heutzutage einfach zu viel Verrückte herum.
Die die rumlaufen find ich nicht so schlimm. die die sitzen (vor dem PC) die sind schlimm Aber OK, wenn es externe Anbieter sind und die Software nicht bei dir läuft kann ich deine Bedenken nachvollziehen. Die kannst nur über den Shop dann einschränken.
Rechteverwaltung gegenüber internen Mitarbeitern sollte eine Wawi lösen. Das wird sonst echt komplex, da wird auch niemand ein anderes Modell bauen. Das kann ich wiederum nachvollziehen. Ich geh mal damit hausieren.
Kurzer Nachtrag: Die Diskussion hat jetzt zu folgendem Ticket geführt: https://tracker.gambio-server.net/issues/47793 Das ist schon grösser vom Unfang, aber damits hats eine kleine Chance vielleicht noch in die 3.3 zu kommen. Sichere Aussagen gibts da noch nicht, wer mehr wissen will muss das Ticket beobachten.
Hallo Wilken, ist da wirklich noch gar nichts passiert? Es ist 4 Monate her und die Prio steht auf hoch.... Magst mal ein Statement geben büdde?
Hi, es gibt leider noch keine News dazu, für die 3.3 hats einfach nicht mehr gepasst. Ich würde von durchaus berechtigten Hoffnungen für Version 3.5 ausgehen.