Der REST-Server ist komplett zustandslos. Je nach Konfiguration werden bei jedem Aufruf Authentifizierungsdaten verlangt.
...
Die Authentifizierung sollte über PUT oder POST aufgerufen werden, damit das Passwort nicht in der URL mitgegeben werden muss (URLs werden oft in Serverlogs gespeichert, ein Passwort in Klartext sollte da nicht auftauchen!)
Cross Origin Resource Sharing (CORS)
Um den Zugriff auf den Server für einen Webbrowser-Client (Chrome, Firefox, etc.) freizugeben, wird das CORS-Prinzip eingesetzt. Die serverseitigen Einstellungen werden im Server-Ini vorgenommen (/wiki/spaces/TD/pages/15597672). Kurzgefasst evaluiert CORS ob der Webbrowser-Client (welcher eine andere Herkunft besitzt) Zugriff auf den Server hat. Hierbei gibt es zwei Arten von "Use Cases":
- Simple Request: Wird bei den HTTP GET, HEAD und POST Methoden angewendet. Bei der POST-Methode sind nur folgende Content-Types erlaubt: text/plain, application/x-www-form-urlencoded und multipart/form-data.
- Preflighted requests: Kann der "Simple Request" nicht angewendet werden, wird zuerst ein HTTP OPTIONS request abgesetzt.
falseDrawio border
falsetrue viewerToolbar
pageIdtrue fitWindow false diagramName CORS simpleViewer false width diagramWidth 831
19075457revision 1
| Info |
|---|
Dieses Prinzip wird nur von Webbrowser eingesetzt und muss somit nur freigeschaltet werden, wenn der Request direkt vom Browser getätigt wird (zum Beispiel beim Einsatz von Angular). |
...