[TVB-498] Google Calendar-Authentifizierung via API

[sphere]

Hi,

die Funktion zum Export von Lieblingssendungen in den Google-Kalender ist wirklich großartig - hat schon ein Bisschen was von "Magie", wenn die Termine einfach so in meinem Handy-Kalender auftauchen.

Noch besser würde mir das ganze gefallen, wenn man dafür nicht sein Google-Passwort in TV-Browser speichern müsste - bei sowas habe ich immer ein leicht ungutes Gefühl. Daher bietet Google ja, u.a. auch für den Kalender, ein API an, mittels dessen Drittanwendungen für den Zugriff authentifiziert werden können, ohne dass dabei ein Passwort übermittelt werden muss:

http://code.google.com/intl/de/apis/calendar/

Vielleicht eine Überlegung wert ...

Gruß
sphere

[bodo]

Die Möglichkeiten, die ich kenne, funktionieren aber nur mit einem Webbrowser. Oder habe ich etwas übersehen?

[sphere]

Sorry, du hast recht. Ich habe mir die Sache nicht so im Detail angesehen und bin davon ausgegangen, dass das so ähnlich wie das API von Flickr funktioniert, wo auch Desktop-Apps über ein Token authentifiziert werden können. Scheint bei Google derzeit leider nicht möglich zu sein.

[sphere]

Nachtrag:
AuthSub oder OAuth ließe sich nutzen, wenn TV-Browser entweder einen eigenen Protkoll-Handler (z.B. tvbrowser://) beim OS registriert (weiß nicht in wiefern das mit Java geht und ob das irgendwelchen Policies widerspräche) oder temporär einen lokalen Webserver startet und diesen als Callback-URI angibt, um so an das Token zu kommen. Hier werden die beiden Wege für OAuth diskutiert:

http://groups.google.com/group/oauth/br ... e35edfa9b/

[bodo]

Eigener Protokoll-Handler geht nicht, da man das der Anwendung mitgeben muss.Bei Apple ist das in einer .plist-Datei, die für die ganze Anwendung gilt, bei Windows in der Registry, bei Gnome in der gconf. Leider ist das Ding ein Plugin und soll eigentlich nicht am "drumherum" rumbasteln.

Das mit dem Port ginge, aber da wird mir auch immer mulmig. Aber sowas könnte man machen. Allerdings nur als optionale Authentifizierungs-Methode, da das nicht 100% zuverlässig funktionieren wird.

Hat wer lust? Ich mach mal ein Ticket dafür auf.

http://tvbrowser.org:8080/jira/browse/TVB-498

[misi67]

Wenn ich das richtig verstehe, ist das nicht so einfach. Eine Beschreibung zu OAuth findet ihr hier:

http://www.hueniverse.com/hueniverse/20 ... gui-1.html

Das Verfahren wäre dann so:
TVBrowser (T) will sich bei Google Calendar (G) anmelden. G fragt bei T nach einem Token, den T liefert. Diesen muss man dann noch legitimieren. Dazu muss man in einem Browser bei G den Usernamen und Passwort eingeben und wird dann nach T wieder weiter geleitet.
Hier treten 2 Probleme auf:
- Man hat keinen Browser, der einen weiter leitet.
- Oft hat man einen Router, der auch als NAT arbeitet. Wenn ein lokaler Rechner für das Internet einen Service anbieten soll, muss in dem Router dieses Port-Forwarding konfiguriert werden. Ansonsten kann G nicht auf T zugreifen.

Einen lokalen Server zu schreiben ist nicht sehr schwierig, zumal alles HTTP-Requests sind und Java 5 dafür eine API anbietet. Machen könnte ich das, aber ich glaube, dass sich der Aufwand nicht lohnt.

[tvj]

So weit ich OAuth verstanden habe braucht aber auch die Anwendung (also TV-Browser) einen geheimen "Consumer Key-Secret and Token-Secret", mit dem sich die Anwendung gegenüber Google authentifizieren müsste. Da TV-Browser eine lokale und keine Webanwendung ist könnte jeder diesen Schlüssel extrahieren...
Scheint mir also nicht sehr brauchbar zu sein.

[bodo]

Naja, man braucht einen Token und einen App-Key. Beides kann man sich aus der App ziehen. Aber momentan wird, wenn man es verlangt, das Passwort auf dem System gespeichert. Und das nur schwach verschlüsselt. Man könnte auch jetzt schon an das Konto ran, wenn man wollte.