Все вопросы по новому способу авторизации в Wialon (oAuth)

deal , приношу свои извинения. Перепроверил: на самом деле SID разный. А исходный мой вопль был навеян тем, что вторая сессия открывается сразу залогиненной.

BoolAB, если не нужно, чтобы делался дубликат сессии (в новой вкладке был "не залогиненный" Wialon) - не подавайте туда действующий sid. И тогда получите форму авторизации.

По поводу дубликатов сессии - они нужны для аппсов, для возможности войти из-под нижестоящего пользователя, для возможности авторизовавшись один раз с этим сидом заходить в разные сайты, для возможности работы нескольких людей под одним пользователем и при этом не мешать друг другу. У каждой сессии (в том числе у дубликатов) свой рендерер, свои датафлаги и т.д. Такова наша концепция. Целесобразность этой концепции мы тут не обсуждаем.

kravchik, приведите строки с Вашей авторизацией в ЛС. Возможно тут есть неучтённые моменты с нашей стороны.

gofk, если речь о встраивании формы авторизации в свой сайт (визитку)
для возможности с Вашего сайта попасть сразу в мониторинг,
то для этого Вы можете воспользоваться упрощённой формой авторизации (login_simple.html).
Сделать это можно добавив iframe в нужную область на сайте примерно так:

<iframe name="simple_form" src="http://hosting.wialon.com/login_simple.html?title=Monitoring&lang=en" scrolling="no" style="width: 230px; height: 290px; border: 0; margin: 10px;"></iframe>

Описание параметров здесь http://sdk.wialon.com/wiki/ru/sidebar/r … gin/login.

kalaschnikow, в приложении теперь необходимо показывать нашу новую форму авторизации http://hosting.wialon.com/login.html или ваш.днс/login.html. Эту фому можно стилизовать при помощи стороннего css. Есть также ряд других параметров.

Для отображения формы на адроиде можно воспользоваться компонентом типа WebView.
Пользователь вводит логин/пароль -> происходит редирект -> вы проверяете наличие параметра access_token ->
если он есть, вызваете запрос svc=token/login&params={"token":"<access_token>"} с полученным токеном ->
в результате получаете json с sid-ом, который и используете во всех дальнейших запросах.

Также дальше Вы можете запомнить полученный токен пользователя в устройстве и в следующий раз не показывать форму авторизации. Токен можно создавать с различным уровнем прав и сроком действия.

Описание http://sdk.wialon.com/wiki/ru/sidebar/r … ogin/login
Примеры http://sdk.wialon.com/playground/demo/app_auth_token

kalaschnikow, такова наша (и не только) концепция, чтобы форма авторизации была гарантированно доверенная (только наша). Это должно исключить или минимизировать попытки взлома, кражи учётных данных, повысить защищённость.
А по поводу того, что всё так и работает (на входе логин/пароль, на выходе токен) - да действительно примерно так, но только помимо логина и пароля ещё передаётся специально сгенерированная подпись, которая есть только на форме. Без корректной подписи запрос не вернёт токен.

kalaschnikow, поясню на примере.
Допустим кто-то создал свою форму со старым способом авторизации или с гипотетическим запросом "core/gettoken".
В этом случае мы никак не сможем обезопасить конечного пользователя, вводящего в эту форму свои реальные учётные данные от того, что эта форма сначала не сохранит или не передаст куда-то эти данные и ими не воспользуются третьи лица.
При вводе логина и пароля в нашу форму перехватить эти данные намного сложнее.

Старый механизм авторизации вообще почти никак не был защищён. С введением токенов, даже если токен попадёт к третьим лицам, владелец токена в любой момент может удалить его.
Кроме того есть возможность создания токенов с различным уровнем прав, например с ограниченным как раз для передачи третьим лицам.

Удивительно что Вы поднимаете этот вопрос сейчас, а не полгода назад, когда это вводилось и все были заранее предупреждены.

В общем не вижу смысла поднимать холивар по этому поводу сейчас. Это был наш осознанный шаг в сторону усиления безопасности при авторизации пользователей т.к. были определённые ситуации ну и чтобы идти в ногу со временем.
Маловероятно что мы в ближайшее время добавим запрос "core/gettoken" (во всяком случае в таком простом виде).

Просьба отнестись с пониманием, профессионально. Вместо отрицания и суровой критики эффективнее писать конструктивные предложения (на которые мы можем пойти), например не так давно просили возможность стилизовать форму и мы добавили параметр css_url и т.д.
Если есть какие-то сложности с внедрением формы - мы обязательно поможем, для чего и создана данная ветка форума.

Добрый день! Сделана своя страница входа в WL (форма авторизации встроена через iframe и стилизована под свой дизайн). Насколько я понимаю, возможности вернуть пользователя при logout'е из WL на свою страницу входа нет? Или есть какие-то варианты?

deal
Думается, что многим такая возможность была бы интересна. Спасибо.

sanya, просьба указать с какими настройками Вы добавили приложение в Wialon, а также каким образом осуществляете авторизацию в самом приложении.

sanya, всё должно работать. В приложении сначала нужно получить get-параметр sid, и:
1. если он не пустой:
     a. выполнить запрос core/duplicate (https://hst-api.wialon.com/wialon/ajax.html?svc=core/duplicate&params={"continueCurrentSession":true}&sid=<sid>)
     б. если пришёл корректный ответ - взять из него новый сид из параметра eid
     в. выполнять все дальнейшие запросы с этим сидом
2. если параметра sid нету, или после попытки выполнить запрос core/duplicate новый сид не получен нужно показать форму login.html, получить токен, по нему авторизоваться и получить сид.

Ещё как вариант в настройках приложения есть параметр Authorize hash. Если его выставить - в приложение придёт get-параметр authHash.
Если он задан - можно выполнить запрос svc=core/use_auth_hash&params={"authHash":<text>} и на выходе получить сид в параметре eid.
И дальше действовать по такой же схеме.

anovoselof, в качестве id ресурса можно использовать id учётной записи, к которой относится текущий пользователь.
Id учётной записи приходит в ответе на логин в свойстве "bact" https://sdk.wialon.com/wiki/ru/pro/remo … core/login
Также можно подать id другого ресурса. Для этого нужно найти все доступные ресурсы https://sdk.wialon.com/wiki/ru/pro/remo … arch_items и взять id интересующего ресурса.
P.S. Эта ветка посвящена только новому способу авторизации в Wialon Hosting и Wialon Local. Просьба задавать вопросы в соответствующих ветках или создавать новые.

прошу прощение сид указывается без кавычек

Но назрел другой вопрос Возможно выполнить запрос  без sid  имея только токен?