XSRF

W odpowiedzi na każdy request (nawet taki na który dostaliśmy odpowiedź o niepoprawnym XSRF-TOKEN) do api dostajemy 2 cookies:

• X-XSRF-TOKEN
• JSESSIONID

Aby api mogło zweryfikować tożsamość użytkownika należy doklejać obie wartości w nagłówkach.

Bez poprawnego tokena XSRF dostępne są tylko GETy.

Autoryzacja

Pod adres /api/authentication należy wysłać POST z parametrami:

• j_username
• j_password

razem z poprawnymi nagłówkami XSRF i JSESSIONID (protokół który ma tutaj sens to najpierw sprawdzenie czy jesteśmy zalogowani za pomocą GETa pod api/authenticate i doklejenie nagłówków otrzymanych stamtąd)

W odpowiedzi na poprawną autoryzację api zwraca odpowiedź z pustym body

Aby sprawdzić czy jesteśmy zalogowani należy wysłać GET pod api/authenticate, w odpowiedzi dostajemy nazwę zalogowanego konta

Aby się wylogować należy wysłać POST pod api/logout