REST API: Steuerung der Rechte mittels Rollenfunktionalität
Es wäre schön, wenn die Zugriffsberechtigungen für REST API auf die Daten von Webling ebenfalls via Rollen gesteuert werden könnten. Somit wäre es möglich, einzelne Felder für den Service freizugeben und andere zu verstecken.
Kommentare: 7
Älteste
•
Neueste
•
Meiste Gefällt-mir-Angaben
•
Wenigste Gefällt-mir-Angaben
-
18 Jan., '22
Martin VogelHervorgehobener Kommentar
Auch wir würden diese Funktionalität für unsere Organisation sehr begrüßen.
Aktuell birgt jeder API-Key das Risiko eines Vollzugriffs auf die entsprechenden Mitgliederdaten. Gerade da in Webling auch sehr sensible Daten wie Bankdaten gespeichert werden wäre es Datenschutztechnisch wünschenswert, API Keys entsprechend einschränken zu können. -
28 Mai, '25
Ulrich Petri (Offene Werkstatt Mainz e.V.)Absolut essentiell.
Wir bauen uns für die diversen Software tools die wir für unsere Mitglieder betrieben gerade eine SSO (Single-Sign-On) Lösung basierend auf dem Mitgliedsstatus der Webling API.
Hier wäre es wichtig wenn man einschränken könnte welche Felder mit einem API-Key abrufbar sind, da z.B. Adresse und Finanzdaten in diesem Fall nicht relevant sind und dementsprechend auch nicht abgerufen können sollen. -
23 Nov., '25
Christophe ZusammengeführtZwar können die Berechtigungen der REST API beschränkt werden, nun exposiert man die gesamte Datenbank (zB. Mitglieder) gegenüber der Drittanwendung. Es gibt eigentlich nur "Lesen" und "Schreiben" als Berechtigungsstufen.
Hintergrund: Wordpress soll Zugriff auf die Mitgliederliste erhalten, damit die Mitglieder mit Name und Vorname auf der Webseite gelistet werden können. Rein theoretisch könnte Wordpress aber auch die Adressen, Bankdaten usw. problemlos auslesen. Es wäre aus Gründen der Datensichert sinnvoll, dies bereits bei Webling entsprechend zu limitieren indem man die verfügbaren Felder eingrenzen könnte. -
26 Nov., '25
Demian Holderegger System"[API] Berechtigung von API Keys auf einzelne Felder beschränken" (vorgeschlagen von <Verborgen> am 2025-11-23) wurde einschließlich der Zustimmungen (1) und Kommentare (0) in diesen Vorschlag überführt.
-
31 Jan.
Leo Müller ZusammengeführtEs wäre super wenn man bestimmte Gruppen von Datenfeldern aus der API ausgrenzen kann oder andersherum der API nur Zugriff auf definierte Datengruppen / Datenfelder geben kann. So könnte man beispielsweise Bankverbindungen und co. sicher gesatelten wenn man die nicht zwingend braucht.
-
18 Feb.
L.Wir würden das Feature auch sehr erwünschen, da momentan über die API kein Zugriff auf die Dokumenten-Ordner der einzelnen Rollen besteht. Selbst mit Admin-Rechten nicht.
-
25 Feb.
Demian Holderegger System"API Berechtigungen besser abstufen können (Sicherheitsfeature)" (vorgeschlagen von <Verborgen> am 2026-01-31) wurde einschließlich der Zustimmungen (1) und Kommentare (0) in diesen Vorschlag überführt.