API gibt alle Daten aus – ohne Schutz

Hallo,
bei uns gibt /api/customers einfach alle Kundendaten an alle raus.
Sollte hier nicht eigentlich der API Key benötigt werden?

Hallo,

bist Du evtl. mit Deinem Browser im Backend bereits mit einem Benutzer angemeldet, dem API Zugriff gestattet ist ?

Evtl. mal im Inkognito Modus testen - normalerweise sollte ein Login Prompt kommen.

Viele Grüße

Davon ging uch auch aus. Habe mich extra abgemeldet, VM verwendet, VPN mit anderer IP und per LTE immer das selbe Ergebnis. Als Quickfix erst mal per htauth geschlossen.

Kann es an der Kombination nginx und httpcache liegen?

Hallo,

evtl. httpcache.

nginx sollte nicht das Problem sein - /api ist kein real existierendes Verzeichnis - würde etwas mit Deiner nginx Konfiguration nicht stimmen wäre vermutlich die URL gar nicht zu erreichen.

Viele Grüße

Hast du vllt. das Plugin „RestApi“ deaktiviert? Darin enthalten ist u.a. auch der Zugriffsschutz. Das findest du nur in der Datenbank. Schau mal in die s_core_plugins und prüfe ob da active auf 1 steht.

Oha, interessante Erkenntnis. Einfach das Plugin deaktivieren und die API ist für alle offen :slight_smile: Ich war fest der Annahme, dass der Zugriffsschutz immer gesetzt ist. Eben ausprobiert - nur der Unterschied einer Zahl verhindert es :slight_smile:

Das Plugin war tatsählich in der Datenbank deaktivert. Ein setzen auf 1 hat bei uns aber keine Änderung gebracht (trotz logout im Backend und löschen aller Caches).
Muss noch irgendwas anderes dafür geändert werden?

Vielleicht die falsche Datenbank?
Mehr musst du eigentlich nicht tun.

Es ist die richtige Datenbank (mehrmals überprüft) und ändert in Dev oder Live nichts am Verhalten der API. Habe es sogar mit einer neuinstallierten Version verglichen und keine Abweichungen gesehen.
Es scheint das noch etwas anderes es aushebelt …

Ich habe den Fehler gefunden: die Einträge in s_core_subscribes des API Plugins haben bei uns gefehlt.
Wer dies also auch hat: s_core_plugins auf API auf 1 setzen und überprüfen ob in s_core_subscribes subscriber der API Plugins stehen.