Ciao,
scusate una domanda. Io ho una API che all'inserimento di certi parametri per esempio un numero di polizza mi ritorna se il cliente è coperto oppure no. Potrei utilizzare questa API in modo che se il cliente è coperto dia accesso ad una area riservata, come una sorta di login.
Come dovrei procedere, anche tenendo conto del discorso sicurezza.
Grazie mille
Devi descrivere il contesto perché non si capisce di cosa parli.Originariamente inviata da Niloleon
No MP tecnici (non rispondo nemmeno!), usa il forum.
Ok provo a chiarire.
Vorrei sviluppare un applicazione dove solo chi è assicurato puo inserire una richiesta di rimborso. Inoltre ho la possibilita di utilizzare una API gia esistente che mi fornisce i dati di copertura del cliente che vuole richiedere un rimborso, e quindi se il servizio mi ritorna dei dati vuol dire che il cliente è coperto.
Posso sfruttare questo creando una sorta di pagina di accesso dove il cliente inserisce il numero di polizza ( che è uno dei paramtri di ingresso dell'API) e che solo se il servizio mi ritorna che è coperto farlo accedere ad una sezione privata nella quale c'è una maschera da compilare?
Grazie mille
perché no? invece di controllare se il cliente è coperto cercando in un db (è un esempio) cerchi le stesse info chiamando una API. Cos'è che non ti torna?
in verità se l'utente non è assicurato alle api non dovrebbe proprio accedere
Ciro Marotta - Programmatore JAVA - PHP
Preferisco un fallimento alle mie condizioni che un successo alle condizioni altrui.
No beh è il servizio API che ritorna se è assicurato o no, quindi potenzialmente chiunque potrebbe scrivere la Targa e interrogare il servizio perchè è aperto sul web. Per utilizzare la API dovro mettere credo nell'header della richiesta un token.
Piu che altro la mia domanda era riguardo ad un discorso di sicurezza informatica e se era lecito utilizzare una API in questo modo ( come una sorta di login ) o se ci sono delle best practise.
dipende se è un servizio che vuoi dare a tutti o solo agli utenti registrati al tuo portale. ovvio che dipende anche dalle info trattate
eh no teoricamente tutti potranno inserire la targa poiche a priori un cliente puo essere chiunque e la registrazione non serve poiche io utilizzo questa API come una sorta di login e password, poiche solo quelli che inserendo la targa risultano coperti potranno entrare in un area riservata.
ma allora non capisco quale sia la tua richiesta...
La mia richiesta era se è lecito utilizzare una API che ritorna dei dati solo quando un cliente è coperto come login per acedere ad una area riservata e se possono esserci problemi legati alla sicurezza informatica.
Dato che su internet ho trovato molto poco su questo argomento o magari ho cercato io male...
Dovrei implementarlo su Laravel, come idea mi sa che dovrei forse creare un Custom User Provider in qualche modo, che interroghi il servizio API che mi fornisce la info sulla copertura e quindi consideri l'utente autenticato e mi faccia accedere alla pagina riservata di nuova richiesta
Ultima modifica di Niloleon; 18-10-2022 a 12:01
Permessi di invio
Rispondi quotando