Session vs login+password in API

Обсуждение вопросов и решений

Модератор: ykolesnikov

Ответить
mukexa
OTRS Новобранец
Сообщения: 148
Зарегистрирован: 30 апр 2013, 19:08
Откуда: Украина, Киев.
Поблагодарили: 1 раз

Session vs login+password in API

Сообщение mukexa » 25 июл 2017, 17:10

Приветствую!
В очередной раз полез к Generic Interface.
Обязательным атрибутом создания заявки(например) является одно из значений логин+пароль клиента| логин+пароль агента| SessionID. Использовал связку логин+пароль агента, но ведь не зря же придумали сессии.
Прошу поделиться, из личного опыта, что лучше/хуже или в каких случаях выбирается тот или иной вариант.
Благодарю!
OTRS 5s, Ubuntu 12.04

MrIch
OTRS Новобранец
Сообщения: 97
Зарегистрирован: 30 ноя 2015, 10:37

Re: Session vs login+password in API

Сообщение MrIch » 26 июл 2017, 09:29

Приветствую!


Завожу под каждую систему, которая взаимодействует с ОТРС свою учетку агента).
Не нужно мучаться с правами\ограничениями и так далее под каждого агента или клиента в системе.
Один раз настроил и пользуешься).

Ну и плюс, при создании заявки через generic, можно выбрать любого другого клиента, от которого была заявка и сразу назначить нужного исполнителя.
При подробном просмотре просто будет написано, что Создал: Имя Фамилия учетки внешней системы)
OTRS ITSM 5.0.3
Ubuntu 14.04 + PostgreySQL 9.3.9 +Apache 2.4.7

mukexa
OTRS Новобранец
Сообщения: 148
Зарегистрирован: 30 апр 2013, 19:08
Откуда: Украина, Киев.
Поблагодарили: 1 раз

Re: Session vs login+password in API

Сообщение mukexa » 26 июл 2017, 11:05

Для создания сессии тоже нужен логин/пароль. Но время жизни этой сессии по-умолчанию 16(жизнь)/6(простой) часов. А тот факт, что это настраивается не дает жестко использовать в коде время жизни/простоя.
Удобно при создании ссылок, не нужно постоянно лепить L+P.
Из минусов. Нельзя провести верификацию сессии - допиливать.
В ответ приходит лишь ID, без времени жизни(простоя) - допиливать.
Потому вариант L+P тут выгодней.
Вопрос был скорее о производительности и безопасности. Насколько лучше создать сессию и её использовать, чем постоянно слать пару L+P.
Например SkypeApi только через token работает, но в ответ с ним приходит и время.
OTRS 5s, Ubuntu 12.04

Ответить