Zugriff vom iframe im Mitgliederportal auf die Mitglieder ID

ChristianM

Hallo zusammen,

Ist es möglich eine selbst gehostete Seite als iframe im Mitgliederportal einzubinden und von dieser Seite auf Daten (ID) des aktuell eingeloggten Mitgliedes zuzugreifen?

Ich würde unseren Mitgliedern gern teils vorbefüllte Änderungsformulare (z.B. Gruppenwechsel) und Bestellformulare (z.B. Mitgliedsausweis) zur Verfügung stellen. Falls ich also die aktuelle ID des Mitglieds raus bekomme müsste relativ viel über die API möglich sein. Aber bevor ich mich da einarbeite würde ich gern erstmal wissen, ob ich überhaupt eine Chance habe.

Vgl auch Vorschlag: https://webling.featureupvote.com/suggestions/589794/

Viele Grüße Christian

drust

ChristianM Wir haben gerade das gleiche Problem, ich habe auch schon für deinen Feature Request gevotet.

Hast du inzwischen eine alternative Lösung gefunden?

lg Stefanie

Mario

Lieber Christian

Vielen Dank für deine Anfrage in unserem Forum.

Ja, das ist möglich. Verwende dazu folgende Beispiel-Syntax: https://www.beispiel.de/member/{{Mitglieder-ID}}
Tipp: Dein Datenfeld darf in der Bezeichnung keinen Leerzeichen enthalten, sonst funktioniert das leider nicht.

Ich hoffe, das hilft dir weiter. Falls du weitere Unterstützung benötigst, melde dich gerne wieder.

Beste Grüsse
Mario

hannez03

Mario Hallo, gibt es hierzu noch eine genauere Ausführung? Klingt nach dem was ich gesucht habe, komme aber mit dieser Antwort noch nicht ganz dahinter. Danke!

ChristianM

Also was ich bisher hinbekommen habe ist die Mitglieder ID an die iframe Seite zu übergeben. Im Adminbereich -> Administration -> Mitgliederportal/ Seiten Verwalten -> Seite erstellen (iframe) habe ich eine url mit parameter angegeben: https://www.beispiel.de/test.php?MgID={{MitgliederID}}

Das Datenfeld darf dabei kein Leerzeichen haben wie bereits erwähnt und ich habe noch festgestellt, dass das Datenfeld im Mitgliederportal sichtbar für das Mitglied sein muss. Ich hatte zuvor die ID dort nicht einsehbar und dann ging es nicht.

Mit php kannst du dann in test.php z.B. so auf den Parameter zugreifen:

<?php
echo htmlspecialchars($_GET["MgID"]);
?>

Was ich mich frage, wie ich das ganze so sicher bekomme, dass die Seite nur aus dem Mitgliederportal vom eingeloggtem Mitglied aufgerufen werden kann. Die URL findet man leicht raus und ich kann ja dort kein Formular anbieten für eine Bestellung, wenn jeder durch Eingabe der URL im Browser Zugriff für alle IDs hat.
Meine bisherigen Ideen:
1.) Im iframe herausfinden von welcher URL der iframe aus aufgerufen wurde und das Formular nur freigeben, wenn es www.meinVerein.webling.ch war. Ich hab in Foren zumindest gelesen dass das geht, hatte aber noch keine Zeit es zu probieren.
2.) Einen zweiten parameter in der URL mitliefern, der nicht öffentlich ist. Also z.B. ein zusätzliches Datenfeld, dass für jedes Mitglied ein individuelles Passwort enthält. Leider gibts kein Datenfeld, dass mir automatisch Zufallspasswörter generiert. Ein Datenfeld vom Typ ID wäre ideal, wenn es nur nicht chronologisch aufsteigend wäre. Außerdem will ich es auch nicht dem Mitglied dieses Passwort im Mitgliederportal anzeigen. Das wird nur für Verwirrung sorgen.

Hat da ein erfahrener Webentwickler vielleicht einen guten Rat?

jck

Ich denke, da wird es nur eine gefrickelte Lösung geben, wo man auch mit der Sicherheit genau aufpassen muss.
Meine Idee: Nutze die API, um Zufallskennwörter zu generieren und in webling zu speichern sowie regelmäßig zu aktualisieren.

ChristianM

drust Hi Stefanie, ja so wie oben beschrieben, mit URL-Parameter in der Iframe URL lässt sich auf eine selbst gehosteten Seite mit z.B. PHP und HTML ein Formular erstellen und mit der Webling API Änderungen in den Datensätzen des eingeloggtem Mitgliedes machen. Man benötigt halt entsprechend Programmiererfahrung und die Zeit.

Bisher hab ich auch noch nicht mehr geleistet als die Übergabe der ID, und eine API Abfrage um welches Mitglied es sich handelt.

blubstar

Ich weiß, die Antwort kommt spät, aber ich stolpere erst jetzt über dieselbe Frage.

Wir nutzen die REST API von Webling recht intensiv und haben darüber schon diverse Zusatz-Features realisiert, z.B. eine Anzeige auf unserer Webseite, wann wer unserer Mitglieder mit der Gemeinschaftsarbeit dran ist, dazu diverse Vorstands-"Utilities" (z.B. ein Bewerber-Management und das automatische ausfüllen von Aufnahmeverträgen samt Versicherungs-Antrag, etc.), dazu Anbindung an ein externes Rechnungswesen (das auch Gutschriften unterstützt). Das ist zu 99% in PHP und Javascript realisiert, auf einem externen Server. Ich denke, wir fallen so in die von @ChristianM aufgerufene Gruppe von "erfahrenen Web-Programmierern mit Webling-Erfahrung".

Wir würden auch gerne ein paar eigene Inhalte in das Mitgliederportal integrieren, die nur das eingeloggte Mitglied sehen kann, niemand sonst.

Allerdings können wir (und ihr) die üblichen Credentials (Webling username/password) dafür nicht nehmen, weil
a) diese nicht als {{Member Values}} im Webling-Editor genutzt werden und somit auch keiner iframe-URL übergeben werden können und
b) wir diese von extern auch nicht prüfen können. Dazu war ich mit dem Support schon in Kontakt. Es gibt zwar technisch IMMER die Möglichkeit, den Login-Vorgang zu simulieren (beispielsweise Chrome headless laufen lassen und das Eingeben simulieren), aber das ist undokumentiert und kann sich ändern ... und ist ohne a) ohnehin keine Option.

Also sehe ich aktuell nur den Weg über ein "secret token", z.B. wie folgt:

Man legt ein Mitgliederfeld im backend an, z.B. "accessSecret" und setzt das (natürlich automatisiert) für jedes Mitglied auf einen langen, "gesalzenen" Hash der Mitgliedsdaten. Oder auch ein rand(2²⁵⁶). Zufallszahlen taugen hier, weil wir extern keine credentials prüfen, sondern nur den match.
dieses übergibt man im iframe z.B. so
<iframe src="https://www.mein-server.xyz/mein-script.php?secret={{accessSecret}}"></iframe>
das externe Script findet dann per REST API (nutze die Filter-Funktion) heraus, zu welchem Mitglied dieses secret gehört ... und erzeugt die entsprechende Response.

Diese Response wird also immer nur dann angezeigt, wenn im Mitgliederportal ein Mitglied angemeldet ist und daher exakt das richtige und zum Mitglied passende accessSecret übergeben wird, Natürlich ist die Seite https://www.mein-server.xyz/mein-script.php selbst öffentlich, aber 2²⁵⁶ ist schon eine sehr große Zahl, so dass die anderen 99.9999999999999...99999% (insg. knapp 80 Neunen) möglichen Versuche von Angreifern auf die URL https://www.mein-server.xyz/mein-script.php?secret={{angriffsVersuch}} ins Leere gehen. Die Sicherheit entspricht bei 256 bit hash/secret Länge dem, was heute gegen Brute-Force Login Attacks als ausreichend gilt und wäre damit Stand der Technik. Wem das nicht reicht, kann ja 512 oder 1024 nehmen.

Natürlich gehe ich davon aus, dass httpS genutzt wird (mit "s") für secure, dann ist alles verschlüsselt, inkl. des accessSecrets.

Wer sich zusätzlich davor schützen will, dass die iframe-URL kein zweites Mal genutzt werden kann, ändert einfach (im selben externen Script) jedes Mal den Wert des accessSecrets per REST API (salt oder rand). So kann auch der Nutzer, selbst wenn er wollte, die iframe-URL nicht wiederbenutzen und auch (absichtlich oder aus Versehen) keinem Dritten geben.

Ach so: das accessSecret nicht als "Very-Long-Integer" speichern (ich weiß nicht mal, ob Webling 2²⁵⁶ kann) sondern als base64-String, dann wird die iframe-URL auch nicht so lang.

P.S.: Solche Erweiterungen erfordern PHP/JS/REST/security Know How. Wenn du (als "Verantwortliche(r)") das nicht selbst verstehst/kannst, dann finde in deinem Verein so einen "Typen" oder auch "Nerd" und setze sie oder ihn darauf an. In unserem Verein haben wir so einen gefunden ... mich 😃