Kalender: interne Gruppen-Kalender mit Token ausliefern
Zur Einbindung von Kalendern in Programme oder auch web-basierte Dienste ist die Verwendung von token-basierter Zugriffskontrolle (anstelle von http-auth) üblich. Dies hat den erfreulichen Nebeneffekt, dass der Nutzer nicht seinen kompletten stadtgestalten-Account offenlegt, wenn er interne Gruppen-Kalender beispielsweise bei seinem online-Kalenderanbieter abonniert.
Folgende Kriterien sind relevant:
- das Token muss lang genug sein, um zufälliges Erraten unwahrscheinlich zu machen (z.B. 24 Zeichen -> ca. 140 Bit)
- jeder Nutzer (als Mitglied der Gruppe) verfügt über eine eigene URL - somit kann nach einem Ausschluss/Austritt des Nutzes aus der Gruppe diesem der Zugriff verweigert werden
- beim Abruf des Kalenders muss geprüft werden, ob der Nutzer immer noch Teil der Gruppe ist
Folgende URL scheint geeignet zu sein:
https://stadtgestalten.org/critical-mass/events/NUTZERNAME-TOKEN.ics
Die Verwendung des Nutzernamen in der URL macht dem Nutzer deutlich, dass dies seine URL ist und diese somit typischerweise nicht zur Weitergabe gedacht ist.