Zugang zum Mitgliederportal headless prüfen?

blubstar

Anwendungsfall:

wir möchten das Mitgliederportal von Webling nutzen. Das ist schwierig genug, weil manche unserer Mitglieder (Kleingärtnerverein, mit 50 Jahren ist man da noch jung) das Konzept von "Credentials" immer noch nicht (ausreichend) verstanden haben.
Zusätzlich möchten wir auf unserer Homepage einen "internen Bereich" einrichten, auf den alle aktiven Mitglieder zugreifen können. Dazu braucht es auch einen Login, um die Öffentlichkeit auszusperren.
Wegen der o.g. Schwierigkeit, den Leuten EIN Login zu erklären, können wir ihnen keine ZWEI zumuten.

Idee: Wir nutzen die Login-Daten für das Mitgliederportal auch für die eigene Webseite. Quasi wie ein "single-sign-on" (SSO).

Anforderung: Dazu müssten wir headless prüfen können, ob mit den eingegebene Credentials ein Zugriff auf das Mitgliederportal möglich ist.

Herausforderung: dazu müssten wir entweder den Login auf den Mitgliederportal headless "simulieren", oder die credentials direkt via REST API aus Webling herauslesen, um sie zu prüfen.

In der Web-API (als Admin) habe ich keine Credential-Info gefunden. Ich könnte jetzt die Portalseiten im Browser debuggen und letztlich irgendwie herausfinden, wie die "Simulations"-Lösung geht. Vorher frage ich euch direkt. Denn euer Wordpress Plugin müsste ja über genau dieses Feature schon verfügen, oder?

Ich erbitte eure Unterstützung für eine eigene Lösung.

Besten Dank,
Kai

demian_holderegger

Hoi Kai,

Ob Logindaten gültig sind kannst du mit folgendem Request herausfinden:

POST https://demo.webling.ch/api/portal/magiclink/login

und einem application/x-www-form-urlencoded Payload. Beispiel:

email=demo%40webling.ch&password=asdfasdf

Das Problem ist aber, dass das nur funktioniert, wenn das Mitglied auch ein Passwort gewählt hat. Dazu müsstest du jedes Mitglied dazu bringen, sich zuerst einmal im Mitgliederportal einzuloggen und ein Passwort zu wählen. Ob das das den ganzen Prozess wirklich vereinfacht weiss ich nicht 🙂

Noch eine weitere Info: Das ist eine undokumentierte API (die du auch über Reverse-Engineering herausfinden könntest). Wir behalten uns vor, an undokumentierten Endpoints jederzeit Änderungen vorzunehmen, ohne vorherige Meldung. Ich gehe nicht davon aus, dass dies bald passieren wird, aber ist nicht ausgeschlossen bei solchen Endpoints.