Ankündigung API - Schnittstelle

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • API - Schnittstelle

      Frohlocket - wir bieten für findige Entwickler endlich maßgeschneiderte Möglichkeiten an, die Daten die die Nutzer im Forum verwenden abzufragen und weiterzuverwerten. Ob für Quiz - Spiele, Verlosungen, Tauschen, Backups, Authentifizierungen oder oder oder - die Möglichkeiten sind endlos. Bisher mussten Entwickler mit Workarounds oder Tricks an ihre Informationen kommen, was nicht nur unzuverlässlich und unperformant ist, sondern auch datenschutzrechtlich bedenklich ist. Mit der Schnittstelle geben wir klare Vorgaben die zu beachten sind und die Nutzer können ihre Daten besser kontrollieren.

      Folgende Dinge sind für Entwickler zu berücksichtigen:
      • Jegliche Entwicklungs-Workarounds die die Identität der User im Forum emittelt oder Profilinformationen auslesen die per OAuth abfragbar sind, sind fortan verboten.
      • Falschangaben oder Missbrauch der Schnittstelle werden je nach Ermessen der Moderation ermahnt, verwarnt, gesperrt oder rechtlich zur Anzeige gebracht.
      • Entwickler müssen per PN oder EMail kontaktierbar sein und auf Anfragen bzgl. des Datenschutzes innerhalb einer Woche antworten.
      • Beantwortet werden müssen Anfragen zur Verwendung der Daten, Anträge auf Löschung aller Daten müssen nach geeigneter Prüfung ausnahmslos gefolgt werden.
      • Der Entwickler haftet alleine für die Wartung und die Anfragen zum Datenschutz, kann dabei aber Vertrauenspersonen einbinden.


      Ihr findet das Entwickler - Dashboard mit euren Zugangsdaten und einer ausführlichen Dokumentation unter folgender Adresse:
      Zum Entwickler - Dashboard

      Ihr könnt die Anmeldung und die übermittelten Daten mit der Demo jederzeit überprüfen.
      Zum Demo - Login

      Bei Sicherheitsmeldungen bitte mich per PN kontaktieren, ansonsten Fehler und Fragen bitte hier stellen, auch wenn ein Fokus auf einfache Bedienbarkeit gelegt wurde.
      Ihr könnt durch Eingabe von "localhost" als Host auch lokal entwickeln und testen.
    • Error: guest
      PayPal: herprince@outlook.de
      Twitter
      DeviantArt

      Programmierung Service
      JAVA (bspw. Android Applikationen, Modifikationen bzw. Plugins für Minecraft),
      C# (Konsolen- oder Windows Form Anwendungen),
      PHP (Objektorientiert, Routing, MVC Pattern etc.),
      HTML5 (dazu gehören auch Spiele ectera)

      [ BIETE ] • Webdesigning • WBB4 • WordPress • Anpassungen für vorhandene Designs •
    • Also ich verstehe diese API nicht ganz, ich weis das ich folgendes eingeben muss ;

      forum.sa-mp.de/oauth/index.php?token=XXXXX

      Aber was weiter und wie ist Eure API zu verwenden, das begreife ich gerade nicht, eventuell mal ein Example Link ?!
      ●▬▬▬▬▬▬▬▬▬▬▬▬▬▬ஜ۩۞۩ஜ۩۞۩ஜ۩۞۩ஜ▬▬▬▬▬▬▬▬▬▬▬▬▬●
      ♛ ▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀ ♛
      ♛ _______________________╔╦╦╦═╦╗╔═╦═╦══╦═╗_____________________ ♛
      ♛ _______________________║║║║╩╣╚╣═╣║║║║║╩╣_____________________ ♛
      ♛ _______________________╚══╩═╩═╩═╩═╩╩╩╩═╝_____________________ ♛
      ♛ ▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀ ♛
      ●▬▬▬▬▬▬▬▬▬▬▬▬▬▬ஜ۩۞۩ஜ۩۞۩ஜ۩۞۩ஜ▬▬▬▬▬▬▬▬▬▬▬▬▬●


      Immer Online solange ich Online bin : hitbox.tv/TexxhornTV

      Jetzt einen DDoS Protected SSD VPS Server kaufen : Jetzt 5% Rabatt sichern! Code : 8HX5AIER4JS8

      Nur gültig für den SSD VPS Server ...

      Beitrag von Kinimod ()

      Dieser Beitrag wurde gelöscht, Informationen über den Löschvorgang sind nicht verfügbar.
    • Denke ich nicht oder doch ?
      ●▬▬▬▬▬▬▬▬▬▬▬▬▬▬ஜ۩۞۩ஜ۩۞۩ஜ۩۞۩ஜ▬▬▬▬▬▬▬▬▬▬▬▬▬●
      ♛ ▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀ ♛
      ♛ _______________________╔╦╦╦═╦╗╔═╦═╦══╦═╗_____________________ ♛
      ♛ _______________________║║║║╩╣╚╣═╣║║║║║╩╣_____________________ ♛
      ♛ _______________________╚══╩═╩═╩═╩═╩╩╩╩═╝_____________________ ♛
      ♛ ▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀ ♛
      ●▬▬▬▬▬▬▬▬▬▬▬▬▬▬ஜ۩۞۩ஜ۩۞۩ஜ۩۞۩ஜ▬▬▬▬▬▬▬▬▬▬▬▬▬●


      Immer Online solange ich Online bin : hitbox.tv/TexxhornTV

      Jetzt einen DDoS Protected SSD VPS Server kaufen : Jetzt 5% Rabatt sichern! Code : 8HX5AIER4JS8

      Nur gültig für den SSD VPS Server ...
    • Ich hoffe doch stark, das ihr dafür auch die Server habt.... wir wissen ja alle wie Breadfish bei nem DDoS reagiert...

      Ich persönlich halte es auch für nicht wirklich nötig.. Okay man kann theoretisch eine Registrierung für SA-MP Server machen (ala Registrierung mit Gesichtsbuch, Github und co.). Das ist aber auch das einzige was ich mir als wirklichen Sinn vorstellen mag...

      @Trooper[Y]: Ich hoffe ihr habt ne Zugriffsbeschränkung drin... sonst kann man die Schnittstelle ja ziemlich easy dafür nutzen das Forum "zu killen"
      Mit freundlichen Grüßen
      Developer
      Senior Webdeveloper | Fachinformatiker Anwendungsentwicklung
    • Die Fehlermeldungen (error) sollte man auch in JSON ausgeben. Ein Fehlercode mit Meldung wäre mir auch lieber :-0.
      Ich bekomme jeweils invalid_host, eine Beschreibung fehlt aber. Dabei benutze ich "localhost" wie in deinem Startpost erwähnt als Hostnamen ¯\_(ツ)_/¯.
      Der Token ist ja aktuell die UserID. Da sollte man doch schon eher auf einen Zufallswert bestehen, auch wenn ich nicht weiss was ich aktuell mit einem fremden Key an Schaden anrichten kann.
      Bei dem "Anmelden per SA-MP.DE" wäre es auch ganz nett zu sehen, wer denn der Entwickler ist dem ich meinen Daten bereitstellen soll (Benutzer, Host). Wird mir aus dem Beispiel nicht ganz klar, ob das jetzt "forum.sa-mp.de" ist weil es Blau markiert ist.


      Das ist mir bisher aufgefallen.Bin mir sicher du fügst da noch mehr hinzu, bist ja bestimmt noch am Anfang.
      Wenn ich mich dann auch mal korrekt authentifiziere, schaue ich es mir genauer an. Bisher schaut es aber gut aus :).

    • Sehr praktisch für zukünftige Gewinnspiele :thumbup:


      Ich würde es begrüßen, wenn man mehrere Tokens mit zugehörigem Passwort und Host erstellen könnte, etwa einen für den Test- und einen für den Produktivserver.

      Außerdem wäre es schön, wenn der Entwickler mehr Informationen, wie etwa den Namen der Website und ein Logo festlegen könnte, die dem unwissenden Nutzer dann angezeigt würden.

      Wenn man sich häufiger auf einer so bereitgestellten Website anmeldet, wäre es auch hilfreich, wenn es eine Möglichkeit gäbe, sich automatisch, also ohne die nochmalige Bestätigung anzumelden. So müsste man dann nur beim ersten Anmeldeversuch sein Einverständnis geben, solange sich die angeforderten Daten nicht ändern.

      Der Weg wie die Daten bereitgestellt werden, ist für mich auch eher unüblich. Ich kenne es eher so, dass beim "Verbinden" dem Server des Entwicklers eine ID mitgeteilt wird, die den Nutzer identifiziert. Die Validierung der Angaben wird dann über eine Anfrage beim Server des Anbieters (hier: sa-mp.de) vorgenommen. Das hat dann den Vorteil, dass man nicht nur weiß, dass derjenige von dem die Antwort stammt über das Passwort verfügt, was man hier bekommen hat, sondern tatsächlich den Server betreibt. Weitere Details - hier die PNs - werden dann über eine separate API abgefragt, was den Vorteil hat, dass man etwa einen neuen Benutzernamen des Nutzers auch ohne Eingreifen ebenjenes Nutzers erfahren würde. Warum wurde dieser Weg hier nicht gewählt?

      Jedenfalls ein hervorragender Anfang, der sicher viele neue Möglichkeiten eröffnet :)

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von bauerj ()

    • Jack_Bauer schrieb:

      Moment, jetzt kann gemäß der Berechtigungen jeder Depp meine Email herauslesen, wenn der Entwickler das erlaubt?
      Nur wenn du explizit zustimmst. Wenn man sich darüber irgendwo anmelden möchte, wird man auf eine Seite des Forums weitergeleitet, auf der man entweder zustimmt oder ablehnen kann. Live sehen kann man das (neben der Demo oben) bereits im Ticketsystem (ticket.sa-mp.de/login, auf "Anmelden mit Breadfish - Account" klicken).

      Goldkiller schrieb:

      Wird mir aus dem Beispiel nicht ganz klar, ob das jetzt "forum.sa-mp.de" ist weil es Blau markiert ist.
      Angezeigt wird der Host der die Daten haben möchte. Im Ticketsystem z.b. "ticket.sa-mp.de". Eine anzeige von wem das ist, oder ne kleine Beschreibung wäre aber sicher nicht schlecht.

      Kalcor schrieb:

      The fact is, I am right. And if you think I'm wrong, you are wrong.
    • Wer hat die API kaputt gemacht ?

      Invalid_Confirmation

      Bitte einmal nachschauen :)
      ●▬▬▬▬▬▬▬▬▬▬▬▬▬▬ஜ۩۞۩ஜ۩۞۩ஜ۩۞۩ஜ▬▬▬▬▬▬▬▬▬▬▬▬▬●
      ♛ ▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀ ♛
      ♛ _______________________╔╦╦╦═╦╗╔═╦═╦══╦═╗_____________________ ♛
      ♛ _______________________║║║║╩╣╚╣═╣║║║║║╩╣_____________________ ♛
      ♛ _______________________╚══╩═╩═╩═╩═╩╩╩╩═╝_____________________ ♛
      ♛ ▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀ ♛
      ●▬▬▬▬▬▬▬▬▬▬▬▬▬▬ஜ۩۞۩ஜ۩۞۩ஜ۩۞۩ஜ▬▬▬▬▬▬▬▬▬▬▬▬▬●


      Immer Online solange ich Online bin : hitbox.tv/TexxhornTV

      Jetzt einen DDoS Protected SSD VPS Server kaufen : Jetzt 5% Rabatt sichern! Code : 8HX5AIER4JS8

      Nur gültig für den SSD VPS Server ...
    • Und warum genau ist die Bekanntgabe meiner E-Mail Adresse nicht datenschutztechnisch bedenklich? Ich möchte eigentlich ehrlich gesagt nicht, dass jeder "Depp" meine E-Mail Adresse kennt und missbrauchen kann.

      Mein CS:GO Server: 62.75.168.39:27016

      Ich bin so hungrig, dass ich vor lauter Durst nicht weiß, was ich rauchen soll - so müde bin ich!
      Freedom is just another word for 'Nothing left to lose'
    • @Jack_Bauer:
      Die Entwickler können dich nach deiner EMail - Adresse (und anderen Daten) fragen, und du kannst jedes mal entscheiden ob du die Daten übergeben willst oder nicht.

      @$this->getUser();:
      Die API verbraucht weniger Ressourcen als das Forum und wird auf dieselbe Art wie das Forum vor Angriffen geschützt, eine besonders gefährdete Angriffsstelle sehe ich hier nicht.
      Nutzungsmöglichkeiten gibt es zuhauf und werden und wurden auch entsprechend schon genutzt. Es gab ein Quiz wo man sich mit seinem Forenaccount anmelden kann, im Ticketsystem geht das und auch sonst gibt es viele Möglichkeiten. Mein PN - Backup kann man bspw mit der Zusatzberechtigung besser umsetzen.

      @DeveloperOS:
      Wenn man einer Sonderberechtigung das erste mal (Browserstart) zustimmt dauert es 10s, nach Übermittlung einer Sonderberechtigung wird es bis zum Schließen des Browsers auf 5s reduziert da davon ausgegangen wird dass die Nutzer das Konzept verstanden haben und schneller entscheiden können.

      @Goldkiller:
      Die Errormeldungen in JSON auszugeben wäre möglich, hier aber mMn mit Kanonen auf Spatzen geschossen dafür dass es sich hier um so wenig Text handelt. Ich fände es einfach gesagt zu aufwändig es "entschlüsseln" zu müssen bevor ich an die Fehlermeldung komme. "invalid_host" (auf der index.php) kommt wenn deine redirect - url nicht auf deinen eingegebenen Host zeigt, du also "localhost" eingegeben hast aber zu ner anderen URL als "http://localhost/..." umleiten willst. Ich verbessere die Fehlermeldungen nachher mal.

      Der Missbrauch durch fremde Token ist nicht möglich, schon konzeptionell gesehen kannst du dann nur auf seine Webseite umleiten und könntest dann die Daten nicht verifizieren da du das Passwort nicht hast. Durch die aktuelle Namensgebung wird darauf abgezielt jederzeit klar anzuzeigen wer der Entwickler ist. Ja, das blaue oben ist der Host, den Entwickler findet man indem man unten in der Infobox auf "Forum" drückt (erstellt PN an Entwickler) oder auf "EMail" fragt (erstellt EMail an Entwickler). Der Name ist da für mich unwichtig da nur der Kontakt möglich sein muss und man den Host halt prüfen sollte. Im Ticket - System findest du btw. das ACP für die API.


      @bauerj:
      Du kannst den Host jederzeit ändern, entsprechend würde ich die Daten dann ändern. Mehrere Zugänge zu erstellen ist aber durchaus geplant, hat aber keine hohe Prio.
      Das Gestalten der Seite ist eine nette Idee, ja, allerdings möchte ich verhindern dass die Übersicht über Host, Kontakt & Rechte und die Berechtigungen verloren geht. Die Möglichkeiten der Entwicklergestaltung werden dadurch sehr eingeschränkt, ansonsten mag ich aber die Idee und werde da nachher mal rumspielen.

      Du hast Recht, es ist üblich dass bei OAuth nach einmaliger Zustimmung automatisch angemeldet wird. Hier gibt es dieses "Feature" aus mehreren Gründen nicht. So habe ich keinen Zugriff aufs Forum, wodurch für Nutzer keine klare Übersicht und Verwaltung über ihre bereits erlaubten Berechtigungen bereitgestellt werden kann - eine Berechtigung wäre für Nutzer also nur umständlich wieder entfernbar. Außerdem gibt es einige Berechtigungen, allen voran die privaten Nachrichten, die immer aktuelle Daten enthalten. Der Nutzer soll sich im Klaren sein dass seine neuen Nachrichten dann übertragen werden und er da entsprechend nochmal drüberschauen sollte. Ich werde die Auto-Anmeldung dennoch umsetzen, allerdings wird das dann nur möglich sein wenn im scope keine Sonderberechtigungen angegeben sind, diese werden immer eine besonders lange Einzelprüfung erfordern um Missbrauch zu verhindern.


      @Scene-Sector:
      Ich hab den Algorithmus mal etwas angepasst und bei ungültigem Bestätigungscode wird man jetzt nochmal um Bestätigung gebeten statt eine Fehlermeldung anzuzeigen.
    • LeijaT schrieb:

      Und warum genau ist die Bekanntgabe meiner E-Mail Adresse nicht datenschutztechnisch bedenklich? Ich möchte eigentlich ehrlich gesagt nicht, dass jeder "Depp" meine E-Mail Adresse kennt und missbrauchen kann.

      Diese API baut auf der Grundlage auf dass der User selber entscheiden kann, welche Daten er freigeben möchte, welche nicht und ob er das überhaupt tun möchte.



      Du kannst entweder auf Abbrechen drücken, wodurch gar keine Daten übermittelt werden, oder du entfernst den Haken bei 'EMail - Adresse', wodurch alles außer die E-Mail Adresse übermittelt wird.