Login, HTTPS og SSL

Login på Kortforsyningen

Kortforsyningen kræver at en bruger/applikation identificerer sig ved hjælp af en token eller login og password for at få adgang. Token eller login og password skal sendes med sammen med hver forespørgsel til Kortforsyningen.
Grunden til at der ikke arbejdes med sessions-baseret loginstyring er, at Kortforsyningen skal kunne bruges af klientprogrammer som kun understøtter en basal OpenGIS-baseret kommunikation over stateless HTTP, og ikke er programmeret til at understøtte sessioner.
 
Der er to måder at logge ind på kortforsyningen:
 
  1. Token
  2. Brugernavn og password angivet som HTTP(S) parametre ( + HTTPS & SSL)
 
 
1. Login med Token
 
En token benyttes til at identificere sig overfor Kortforsyningen uden risiko for at afsløre brugernavn og password.
Det kan fx være relevant hvis Kortforsyningens tjenester er implementeret i fx web applikationer tilgængelige for alle på Internettet.
Få en token ved at forespørge med request GetTicket.
Herefter returneres en 32 ciffer hexadecimal krypteret kode i plain text.
 
En token kan sendes med som en parameter i en GIS-forespørgsel i stedet for brugernavn og password. Det gøres med parameteren ticket=zzz, hvor zzz er kode (ticket) fra GetTicket-svaret.
 
 
 
2. Login med brugernavn og password
 
Login og password kan sendes med som ekstra parametre i forespørgslen. URL’en opbygges som en normal forespørgsel med alle de sædvanlige OpenGISdefinerede parametre, og derudover tilføjes to parametre som hedder hhv. login=xxx og password=yyy, hvor xxx er brugernavn og yyy er brugerens password.
En gyldig URL vil f.eks. se således ud:
Eksemplet viser hvordan parametrene kan sendes som en del af URL’en (HTTP GET), men det er også muligt at sende dem i HTTP headeren (HTTP POST) som man typisk vil se i forbindelse med form-felter i HTML.
 
HTTPS og SSL
Der kan anvendes Secure Socket Layer for at sikre transmissionen (primært login og password) mod aflytning. Dette gøres ved at anvende https protokollen i stedet for http, f.eks.
Ved brug af HTTPS kan man også undgå Browser advarsler når man blander sikkert og usikkert indhold. Det kunne fx. være i sammenhæng med brug af NemID.