Password based authentication no longer supported by March 2018

**Prof.Mobilux** · 19.11.2017, 14:36

Wenn Loxone tatsächlich auch die REST-Schnittstelle auf Token-Based Authentifizierung umstellt, ist der Miniserver für andere Systeme quasi unerreichbar. Keine Anbindung an Homematic mehr, keine Anbindung an Alexa und Co, keine Anbindung an... Dann geht alles nur über irgendwelche Gateways.

Wenn sie das tun, bin ich mir sehr sicher, wird irgendwann die Schnittstelle ganz abgeschaltet. Natürlich nur aus Sicherheitsgründen und um dem Kunden was Gutes zu tun.

Bis zum endgültigen Abstellen werden wir definitiv ein LoxBerry-Gateway bauen - so schnell wie es geht! Wörsty hat schon erste Erfolge erzielen können, siehe hier: https://github.com/mschlenstedt/Loxberry/issues/201

**preslmayer** · 19.11.2017, 16:35

Ich hänge gerade beim Kapitel "Aquiring Token".
Hier steht in der Beschreibung, dass der Token mit dem Request "jdev/sys/gettoken/{hash}/{user}/{permission}/{uuid}/{info}" geholt werden kann.
Für mich stellt sich nun die Frage muss dieser Request noch mittels einem mit dem PublicKey verschlüsselten Request gemacht werden?
Habe dabei noch die Info im Text gefunden: "A token can be either acquired via encrypted requests using HTTP requests or via a websocket."

Wenn ich aber den gettoken request mit dem PublicKey laut Beschreibung verschlüssle und dann abschicke bekommme ich die Fehlermeldung: "<errorcode>401</errorcode> <errordetail>Unauthorized</errordetail>"

**preslmayer** · 07.12.2017, 12:09

Hallo!
Hier im Anhang ein Node Programm, welches mittels HTTP Requests einen Token vom Miniserver holt.
Leider habe ich es bis dato nicht geschafft mit diesem Token einen vituellen Input zu schalten oder andere Commands, die eine Authentfizerung benötigen, erfolgreich durchzuführen.
Vielleicht schafft jemand von Euch mit einem Token ein {authCommand} erfolgreich durchzuführen.

In Zeile 332 könnt ihr die Daten für euren Miniserver eintragen.

Code:

...
token = new TokenEnc('192.168.0.1','80','username','password');
...

In Zeile 173 kann das {authCommand} eingetragen werden.

Code:

...
var command = 'VI99/Off';
...

Angehängte Dateien

loxhttp_example.zip (2,4 KB, 3x aufgerufen)

**Christian Fenzl** · 21.12.2017, 10:33

preslmayer Nur zur Info: Das Thema ist bei uns (LoxBerry Team) nicht "eingeschlafen", wir sind nur gerade voll in der LoxBerry-Core-Entwicklung und werden uns dem Thema Websocket erst verstärkt widmen, wenn wir für LB die Public-Beta starten. Jeder Input ist willkommen, oder auch von anderen, die das probieren.

**baldaum** · 25.01.2018, 20:21

Hallo,

ich habe eine Frage dazu.

Ich habe Homematic und Alexa im Einsatz, welche über http eine Schnittstelle zu Loxone haben. Ich melde zb den Status des Homematic Türschlosses via http an den Miniserver retour, damit ich den richtigen Status in der App sehe. Weiters schalte ich via HA Bridge und Alexa verschieden Zustände im Miniserver.

Bis jetzt funktioniert alles einwandfrei.

Ich habe eure Kommentare gelesen und kann das kaum glauben. Heißt das wirklich, dass ab März nichts mehr geht ohne den Token?

Das kann doch nicht sein oder?

**svethi** · 25.01.2018, 21:51

Woher sollen wir das wissen, wenn es noch nicht einmal der Support von Loxone weiß?!
Aber ja, wenn das strikt so umgesetzt wird, geht nichts mehr

**baldaum** · 25.01.2018, 22:33

Danke für die Antwort.

Ich habe soeben ein Ticket bei Loxone aufgegeben

**baldaum** · 27.01.2018, 08:04

Hier die Antwort von Loxone:

Vielen Dank für Ihre Anfrage.

Diese Änderung betrifft den Verbindungsaufbau zum Miniserver. Die Webservice Befehle (https://www.loxone.com/dede/kb/webservices/) sind davon nicht betroffen.

Die Umstellung auf eine token based authentication ist erforderlich, um den Sicherheitsstandard des Loxone Smart Homes zu steigern.

**baldaum** · 27.01.2018, 08:08

Was Sie genau damit meinen ist mir unklar. Mir war aber wichtig, dass meine CCU und HABridge weiter funktionieren und dass haben Sie mir mit den WebServices bestätigt

**hismastersvoice** · 27.01.2018, 08:36

Wenn man die PDF zur MiniServer Kommunikation liest wird man nicht so schlau daraus. Das könnte beides bedeuten, RestAPI und Websockets.

Wenn sie das aber mit der RestAPI machen würden, würden wahrscheinlich ein extrem großer Teil der Installationen nicht mehr zu 100% laufen. Das traut sich nicht mal Loxone.

Darüber hinaus hätten sie einen der größten Vorteile dann verspielt. Somit wäre Loxone für viele uninteressant geworden. Das kann ich mir beim besten Willen nicht vorstellen das die Überheblichkeit dann soweit reicht.

Also machen wir uns mal vorerst keine größeren Sorgen.

Sollte Loxone das allerdings auch bei den Websrrvicrs durchziehen wäre das der sichere Rauswurf aus meiner Installationen. Aber das hoffen wir mal nicht.

**svethi** · 27.01.2018, 20:41

Nun, ganz einfach, wenn die Kommunikation nur noch per Token funktioniert die auch noch immer getauscht werden müssen, brauchst Du Dich über diesen Weg nicht mehr drum kümmern. Eventuell wird die Kommunikation später auch direkt über Websocket abgebildet, dann bräuchten nicht alle Plugin etc. Eigene Verbindungen aufbauen

**hismastersvoice** · 27.01.2018, 20:59

Ja ok, das wäre nur wenn....
...dann ist mir das schon klar.

Das mit einem gemeinsamen Soket halte ich für eine gute Idee.

**Christian Fenzl** · 29.01.2018, 12:07

Das WebSockets-Thema werden wir mal aufschieben und abwarten.

Was ich aber auf der LoxBerry-Roadmap sehe, ist die Token Based Authentication per REST.
Das ist weitaus weniger komplex zu implementieren als WebSockets, bietet aber doch endlich eine sicherere Kommunikation zwischen LoxBerry und Miniserver (wenn schon SSL am Miniserver nicht geht).

Das Konzept dazu gibt es auch schon:

Bridging des Miniservers am LB für Token Auth · Issue #372 · mschlenstedt/Loxberry

https://github.com/mschlenstedt/Loxberry/issues/372

Dabei geht es erstmal nicht um Websockets, sondern um REST mit Token Auth für eine verschlüsselte LB->MS Kommunikation. Alles ist für Benutzer transparent. Plugin-Entwickler müssen kleine Modifikat...

Wenn die Modul-Funktion get_miniservers (für Perl und PHP) genutzt wird, lässt sich das mit einer System-Einstellung sogar vollständig transparent für die Plugins anbieten (Bridging aus -> Modul liefert Miniserver-Daten, Bridging ein -> Modul liefert die lokalen Bridge-Daten).

Später lässt sich das dann auch immer - wiederum transparent - auf Websockets umstellen, wovon die Plugins dann noch nicht mal etwas merken.

**baldaum** · 29.01.2018, 13:23

Hier die nächste Antwort vom Loxone Support:

Danke für die Rückmeldung.

Es geht hier lediglich um den Verbindungsaufbau zwischen App/Webinterface zum Miniserver.

**OmerBeg** · 30.01.2018, 13:17

Zitat von Christian Fenzl

3. Wenn für REST die Token-based Auth kommt, werden wir das sofort in LoxBerry einbauen, und wenn es Nächte dauert, und dann auch ein entsprechendes Gateway machen.

Danke dafür, ehrlich.

Password​ ​based authentication​ ​​no​ ​longer​ ​​supported​ ​by​ ​March​ ​2018​

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Password based authentication no longer supported by March 2018