Autor Tema: Acceso de terceros a operación pública con parámetros sin loguearse?  (Leído 64 veces)

0 Usuarios y 1 Visitante están viendo este tema.

mbarreda

  • Toba
  • *
  • Mensajes: 421
    • MSN Messenger - martinbarreda@hotmail.com
    • Ver Perfil
    • Email
  • Institución: UPSO
  • Nombre y apellido: Martin Barreda
  • Sistema: Toba
  • Teléfono laboral: 0291154261646
Hola!
quería saber si era posible que, desde fuera del proyecto, un tercero, ajeno a un desarrollo, pudiera acceder a una operación pública, usando una url particular, por ejemplo, que muestre en pantalla un texto y permita la descarga de un archivo.
Es decir, la url que le pase a ese tercero, debería contener al menos un parámetro que pudiera ser leído por la operación.
La idea, es evitar el logueo, ya que es una operación puntual.
Estoy usando la versión 2.3
Es factible realizar algo asi?
Si lo es? implica mucho riesgo en cuanto a seguridad (neofito en estos temas)? como sería la url a pasarle al tercero (capaz se pasa como un código QR)? como hago para pasar y leer el parámetro en la operación (que debe ser pública, no?)
Mil gracias!!

richard

  • Moderador Global
  • *****
  • Mensajes: 2679
    • Ver Perfil
  • Institución: SIU
  • Nombre y apellido: Ricardo Dalinger
  • Sistema: SIU-Toba
Re:Acceso de terceros a operación pública con parámetros sin loguearse?
« Respuesta #1 : diciembre 23, 2019, 09:34:35 am »
Hola Martin,
Hola!
quería saber si era posible que, desde fuera del proyecto, un tercero, ajeno a un desarrollo, pudiera acceder a una operación pública, usando una url particular, por ejemplo, que muestre en pantalla un texto y permita la descarga de un archivo.
Si la operacion es publica, mientras tenga la URL y un browser puede acceder sin problemas... estan hechas justamente para que no sea necesario pasar por el login.

Citar
Es decir, la url que le pase a ese tercero, debería contener al menos un parámetro que pudiera ser leído por la operación.
Como generas ese vinculo?... lo envias via mail?

Citar
Estoy usando la versión 2.3
Si lo es? implica mucho riesgo en cuanto a seguridad (neofito en estos temas)? como sería la url a pasarle al tercero (capaz se pasa como un código QR)? como hago para pasar y leer el parámetro en la operación (que debe ser pública, no?)
A ver... estas usando una version vieja (con ganas) de Toba... que probablemente corre en una version aun mas vieja de PHP.. (<5.4 probablemente), con esto ultimo te diria que ya tenes suficientes agujeros no parchados como para preocuparte de algo mas.

De todas maneras, todo dependerá de que pases en el parámetro y como lo verifiques y utilices cuando llegue a vos... los parámetros por URL tienen el inconveniente que son fácilmente modificables por cualquiera y al tratarse de una operación publica eso implica que podría descargar mas de lo que vos quisieras que descargue... todo depende como armes el esquema.

La URL es un vinculo y lo vas a pasar como tal salvo que le hagas algun pre-procesamiento (el cual vas a tener que tomar en cuenta al momento del retorno). El parametro lo lees via toba::memoria().

Saludos
Twitter es al incontinente verbal,  lo que los dulces al diabetico.

mbarreda

  • Toba
  • *
  • Mensajes: 421
    • MSN Messenger - martinbarreda@hotmail.com
    • Ver Perfil
    • Email
  • Institución: UPSO
  • Nombre y apellido: Martin Barreda
  • Sistema: Toba
  • Teléfono laboral: 0291154261646
Re:Acceso de terceros a operación pública con parámetros sin loguearse?
« Respuesta #2 : diciembre 23, 2019, 10:32:39 am »
Hola!
Citar
Como generas ese vinculo?... lo envias via mail?
Lo envio vía email, en forma de QR, url+parametro. La persona ingresa a la url, con el parametro se recuperan datos de la base, y se genera un mensaje en pantalla y la posibilidad de descarga de un PDF que se arma en el momento (con los datos descargados).

Se lo de la versión... tengo que hacer el cambio, pero es una cuestión de tiempos, y una lucha importante... (al menos para mí).
Ya lo haré! te lo prometo.

richard

  • Moderador Global
  • *****
  • Mensajes: 2679
    • Ver Perfil
  • Institución: SIU
  • Nombre y apellido: Ricardo Dalinger
  • Sistema: SIU-Toba
Re:Acceso de terceros a operación pública con parámetros sin loguearse?
« Respuesta #3 : diciembre 26, 2019, 10:43:06 am »
Hola!
Citar
Como generas ese vinculo?... lo envias via mail?
Lo envio vía email, en forma de QR, url+parametro. La persona ingresa a la url, con el parametro se recuperan datos de la base, y se genera un mensaje en pantalla y la posibilidad de descarga de un PDF que se arma en el momento (con los datos descargados).
Bien, tene en cuenta igualmente que ese parametro cuando el QR pasa a URL se vuelve modificable... asi que asegurate que viene lo que deberia antes de mandarlo a la SQL.. y si es posible, que esta ultima use sentencias preparadas.

Citar
Se lo de la versión... tengo que hacer el cambio, pero es una cuestión de tiempos, y una lucha importante... (al menos para mí).
Ya lo haré! te lo prometo.
No es por eso, sino una cuestion de ahorrarte despioles vos mismo.
Saludos!
Twitter es al incontinente verbal,  lo que los dulces al diabetico.