Acceso de terceros a operación pública con parámetros sin loguearse?

Hola!
quería saber si era posible que, desde fuera del proyecto, un tercero, ajeno a un desarrollo, pudiera acceder a una operación pública, usando una url particular, por ejemplo, que muestre en pantalla un texto y permita la descarga de un archivo.
Es decir, la url que le pase a ese tercero, debería contener al menos un parámetro que pudiera ser leído por la operación.
La idea, es evitar el logueo, ya que es una operación puntual.
Estoy usando la versión 2.3
Es factible realizar algo asi?
Si lo es? implica mucho riesgo en cuanto a seguridad (neofito en estos temas)? como sería la url a pasarle al tercero (capaz se pasa como un código QR)? como hago para pasar y leer el parámetro en la operación (que debe ser pública, no?)
Mil gracias!!

Hola Martin,

Si la operacion es publica, mientras tenga la URL y un browser puede acceder sin problemas… estan hechas justamente para que no sea necesario pasar por el login.

Es decir, la url que le pase a ese tercero, debería contener al menos un parámetro que pudiera ser leído por la operación.
Como generas ese vinculo?... lo envias via mail?
Estoy usando la versión 2.3 Si lo es? implica mucho riesgo en cuanto a seguridad (neofito en estos temas)? como sería la url a pasarle al tercero (capaz se pasa como un código QR)? como hago para pasar y leer el parámetro en la operación (que debe ser pública, no?)
A ver... estas usando una version vieja (con ganas) de Toba... que probablemente corre en una version aun mas vieja de PHP.. (<5.4 probablemente), con esto ultimo te diria que ya tenes suficientes agujeros no parchados como para preocuparte de algo mas.

De todas maneras, todo dependerá de que pases en el parámetro y como lo verifiques y utilices cuando llegue a vos… los parámetros por URL tienen el inconveniente que son fácilmente modificables por cualquiera y al tratarse de una operación publica eso implica que podría descargar mas de lo que vos quisieras que descargue… todo depende como armes el esquema.

La URL es un vinculo y lo vas a pasar como tal salvo que le hagas algun pre-procesamiento (el cual vas a tener que tomar en cuenta al momento del retorno). El parametro lo lees via toba::memoria().

Saludos

Hola!

Como generas ese vinculo?... lo envias via mail?
Lo envio vía email, en forma de QR, url+parametro. La persona ingresa a la url, con el parametro se recuperan datos de la base, y se genera un mensaje en pantalla y la posibilidad de descarga de un PDF que se arma en el momento (con los datos descargados).

Se lo de la versión… tengo que hacer el cambio, pero es una cuestión de tiempos, y una lucha importante… (al menos para mí).
Ya lo haré! te lo prometo.

Bien, tene en cuenta igualmente que ese parametro cuando el QR pasa a URL se vuelve modificable… asi que asegurate que viene lo que deberia antes de mandarlo a la SQL… y si es posible, que esta ultima use sentencias preparadas.

Se lo de la versión... tengo que hacer el cambio, pero es una cuestión de tiempos, y una lucha importante... (al menos para mí). Ya lo haré! te lo prometo.
No es por eso, sino una cuestion de ahorrarte despioles vos mismo. Saludos!