Strana 1 z 1

Nemáte oprávnenie pre prístup k API

Napísané: 22. Okt 2017 12:03
od používateľa Axel Wers
Pri aktualizácii objednávky mi vyskakuje hláška:
Upozornenie: Nemáte oprávnenie pre prístup k API (Programovacie rozhranie aplikácie)!
Čo je to sprostosť a ako sa jej zbavím, nech ma to už nikdy neotravuje?

Re: Nemáte oprávnenie pre prístup k API

Napísané: 23. Okt 2017 17:40
od používateľa SelfMan

Re: Nemáte oprávnenie pre prístup k API

Napísané: 24. Okt 2017 8:52
od používateľa Axel Wers
Dík, nejaké moduly na "fix" tohto som si aj ja našiel, ale k čomu to API je? Objednávky riešime viacerí a z viacerých IP adries a keď sa neustále menia, tak tieto chybové hlášky furt otravujú.

Re: Nemáte oprávnenie pre prístup k API

Napísané: 25. Okt 2017 0:01
od používateľa SelfMan
Application programming interface alebo skratkou API (rozhranie pre programovanie aplikácií). Tento termín je používaný v programovaní. Ide o zbierku funkcií a tried (ale aj iných programov), ktoré určujú akým spôsobom sa majú funkcie knižníc volať zo zdrojového kódu programu. API funkcie sú programové celky, ktoré programátor volá namiesto vlastného naprogramovania. Rozhranie knižnice, ktorá sa používa pri prekladaní programu do binárnej podoby sa nazýva ABI. Grafické knižnice ako OpenGL alebo DirectX majú taktiež zabudované vlastné API funkcie.
Co to znamena v praxi? Mozes mas vlastnu aplikaciu - skladovu evidenciu, ktora ti bude automaticky aktualizovat skladove zasoby na eshope bez potreby prihlasenia sa do administracie.
Niektore funkcie v administracii OpenCart-u pouzivaju volania API a boli tam dake chyby, ktore boli v neskorsom vydani odstranene.
Nenapisal si, ktoru verziu OpenCartu mas. Tazko ti potom povedat co mas/mozes urobit.

Re: Nemáte oprávnenie pre prístup k API

Napísané: 25. Okt 2017 12:09
od používateľa Axel Wers
Konkrétne v tomto prípade 2.3.0.2

Pracujem s viacerými OC na odlišných verziách.

Takže ak nevyužívam takéto a podobné aplikácie, tak prístup k API zrejme nepotrebujem.

Re: Nemáte oprávnenie pre prístup k API

Napísané: 28. Okt 2017 23:54
od používateľa SelfMan
Ano, pokial priamo API n epouzivas, tak ho nepotrebujes. Nie je vsak vylucene, ze API nepouziva niektory instalovany modul.
Preto je dobre nahodit jednu z uvedenych API uprav, aby to zbytocne nehadzalo chyby.

Re: Nemáte oprávnenie pre prístup k API

Napísané: 04. Nov 2017 20:08
od používateľa Martin80
SelfMan napísal:Pristup na API je standardne limitovany na IP adresu.
https://www.opencart.com/index.php?rout ... n_id=28323
alebo
https://www.opencart.com/index.php?rout ... n_id=30437
Niečo sa mi na tom nepozdávalo, len som si to do dnes nevedel potvrdiť a veľmi sa mi v tom hrabať nechcelo. Dnes som si však trocha času našiel.
Ak by som mohol zhodnotiť, ten prvý fix sa mi aj celkom pozdáva. Po načítaní objednávok automaticky pridá aktuálnu adresu a k upozorneniu nedochádza. Nepokrýva to síce prístup iných modulov, ale tak dajme tomu že ako fix môže byť.
Ten druhý na to však ide z opačnej strany a jednoducho kontrolu vypína. Čo na jednej strane síce odstraňuje nepríjemné chybové hlášky a tiež sprístupňuje apičko aj iným modulom, no z hľadiska bezpečnosti je to totálne fiasko. Teda aspoň podľa mňa a je samozrejme možné, že sa mýlim. Nebudem tu dávať špinavé návody, ale admin shopu ktorý si otvorí napríklad apičko pre objednávky a pozrie si aké metódy má s použitím vyššie uvedeného "fixu" plne k dispozícií ktokoľvek, veľmi potešený nebude. Adresy zákazníkov ktorý niečo nakúpili a kontakt na nich na stiahnutie zdarma, a to ešte bude rád, že mu niekto všetky objednávky nezmazal. Ostatné apička myslím veľkú váhu nemajú, ale tak ten pre objednávky je pomerne bohatý. Ten druhý fix preto vrelo nedoporučujem.

Obrázok
Výpis nižšie oznamuje, že som úspešne objednávku modifikoval. Má tým na mysli, že som ju práve úspešne odstránil.
Obrázok

Na záver len dodám, že o žiaden hack nejde. Prístup k výpisu aj k zmazaniu som jednoducho získal po aplikovaní fixu, ktorý vypína kontrolu api. A poučenie z toho plynúce je, že by sme sa nemali uspokojiť jednoducho s tým, že nejakým spôsobom sa zbavíme jednej chyby, aby sme ju nahradili inou, o ktorej ani nevieme že existuje, až kým nie je príliš neskoro.

Re: Nemáte oprávnenie pre prístup k API

Napísané: 05. Nov 2017 0:16
od používateľa SelfMan
Ono kontrola IP adresy je len dalsim ochrannym mechanizmom. API ako take nefunguje bez autentifikacie. Problem vsak moze nastat v momente, ked niekto nepouzije zabezpecene pripojenie (https). Potom je tu uz velka moznost odchytenia komunikacie so serverom, co je nebezpecne hlavne na verejnych wifi sietach, kde moze nacuuvat ktokolvek.