...
- Ein HTTP-Request auf die REST-Schnittstelle muss entweder einer bereits authentifizierten HTTP-Session (die Zuordnung eines Requests zur User-Session erfolgt dabei anhand eines Session-Cookies) oder einem gültigen Freigabe-Token zugeordnet werden können, sonst wird der Zugriffsversuch abgewiesen. Die Zuordnung des Requests zur Session erfolgt dabei anhand eines Session-Cookies bzw. anhand eines entsprechenden URL-Parameters).
- Falls dem Nutzer oder der Freigabe eine IP-Zugirffsbeschränkung zugeordnet wurde und das Request nicht aus dem dort angegebenen IP-Adressbereich stammt, wird der Zugriffsversuch ebenfalls abgewiesen.
- Die Authentifizierung einer bis dato nicht authentifizierten Session erfolgt für persönliche Accounts durch den Aufruf einer Login-URL (Benutzername und Passwort werden dabei als Parameter übergeben). Ein programmatischer Logout erfolgt analog durch den Aufruf einer Logout-URL. Zur Authentifizierung einer Session für einen "anonymen Leser" kann jedem Request auf die REST-Schnittstelle das Authentifizierungs-Token eines Lese-Accounts per URL-Parameter mitgegeben werden. Ist das Token gültig, wird die HTTP-Session, aus welcher der Request kam, für den Leseaccount authentifiziert.