Tesla Club Sweden

Jag ser att det finns flera sådana tjänster, t.ex A Better Route Planner. Om man loggar in med sitt Tesla-konto så kan man få extra bra funktioner.

Men det känns lite osäkert? Jag gillar inte riktigt att ge ut dessa rättigheter, även om vissa tjänster verkar vara helt legitima.

I den hårda verkligheten vet man att alla web-sidor blir hackade förr eller senare. Inte ens proffs som Facebook eller Google klarar sig.

Jag håller med dig.
I de fall där token hålls i webbläsaren är det kanske lite svårare för hackare att stjäla token, och den ska vad jag förstår löpa ut.
Många tjänster hävdar att de endast sparar token (inte användarnamn och lösenord), men det är ju svårt att kontrollera.

Och utan att ha läst på så gissar jag att OM något skulle hända, t.ex. att bilen stjäls, så är det den som lämnat ut credentials som varit oansvarig.

Jag är därför tämligen restriktiv.

Oansvarigt av Tesla att känna till hur deras API nyttjas, men inte erbjuda möjligheten att skapa separata nycklar med olika behörighet.

kler skrev:

Jag håller med dig.
I de fall där token hålls i webbläsaren är det kanske lite svårare för hackare att stjäla token, och den ska vad jag förstår löpa ut.
Många tjänster hävdar att de endast sparar token (inte användarnamn och lösenord), men det är ju svårt att kontrollera.

Och utan att ha läst på så gissar jag att OM något skulle hända, t.ex. att bilen stjäls, så är det den som lämnat ut credentials som varit oansvarig.

Jag är därför tämligen restriktiv.

Oansvarigt av Tesla att känna till hur deras API nyttjas, men inte erbjuda möjligheten att skapa separata nycklar med olika behörighet.

Tanken är väl att man på egen hand (mot Teslas API) skall generera en token som man sedan ger till en tjänst för olika typer av användningsområden.
Denna kan sedan revokeras om man så önskar eller förnyas.
På så sätt får aldrig en site ditt användarnamn och lösenord och kan därför inte agera fel på annat sätt än att missbruka den token som de fått tills den löper ut eller revokeras.

Kruxet är att det är hyfsat tekniskt komplicerat att interagera mot Teslas API om man inte har lite koll på sin kommandoprompt.

Tja alltså tanken och tanken.
För det första tror jag inte att Teslas API är publikt. Det är (väl?) bara reverse-engineerat och sen har mängder av tjänster börjat använda det.
Så det finns (väl?) ingen best practice från Tesla. Skulle de göra en best practice så skulle rutinen antagligen vara att man fick ge en tjänst möjlighet att nyttja Tesla api med mina credentials, så som Google gör (oauth).

Och eftersom de tjänster som finns naturligtvis inte kan kräva av vanliga dödliga att extrahera en token så blir naturligtvis resultatet att de i stället erbjuder sig att göra detta åt användarna (och då kräva användarnamn och lösenord) - allt med Teslas goda minne.

Så kudos åt de tjänster som erbjuder möjlighet att spara token, och endast i webbläsaren. Men 1) litar man på tjänsten?, 2) det går inte att ge t.ex. bara läsbehörighet, utan det är allt eller inget.

Lite slött/fräckt är det av Tesla.
Men visst, summa summarum lever vi i en betydligt roligare värld än om de skyddat api:et från tredje part

Jag använder teslafi och är medveten om att det är dumt att logga in med användarnamn och lösenord.
Jag såg denna: https://www.npmjs.com/package/generate-tesla-token
Dock är det ju också ett program som jag inte vet om jag kan lita på.

Vet någon något bra sett att komma åt min teslatoken utan att koda allt för mycket?

Matte skrev:

Jag använder teslafi och är medveten om att det är dumt att logga in med användarnamn och lösenord.
Jag såg denna: https://www.npmjs.com/package/generate-tesla-token
Dock är det ju också ett program som jag inte vet om jag kan lita på.

Vet någon något bra sett att komma åt min teslatoken utan att koda allt för mycket?

Kollade snabbt över källkoden och vad jag kan se gör generate-tesla-token ingenting oväntat, det är bara ett mindre interface för att ta emot login detaljer och få ut en nyckel genom teslas API, finns ingen möjlighet för någon att sniffa genom dess användning.

Tar så klart inte på mig något ansvar Men jag skulle själv lita på programmet.

Det är väldigt enkelt att bara köra ett kommando och generera tokens. En token kan vidare inte användas till att t ex stjäla bilen, då det kräver lösenord. Funkar utmärkt med token på t ex A Better Route Planner eller Teslafi.

oscfor skrev:

Det är väldigt enkelt att bara köra ett kommando och generera tokens. En token kan vidare inte användas till att t ex stjäla bilen, då det kräver lösenord. Funkar utmärkt med token på t ex A Better Route Planner eller Teslafi.

Kod: Markera allt

curl -X POST -H "Cache-Control: no-cache" -H "Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW" -F "grant_type=password" -F "client_id=81527cff06843c8634fdc09e8ac0abefb46ac849f38fe1e431c2ef2106796384" -F "client_secret=c7257eb71a564034f9419ee651c7d0e5f7aa6bfbd18bafb5c5c033b093bb2fa3" -F "email=YOUR-TESLA-LOGIN-EMAIL@SOMEWHERE.COM" -F "password=YOUR-TESLA-ACCOUNT-PASSWORD" "https://owner-api.teslamotors.com/oauth/token"

Var kör man kommandot?

bonath skrev:

oscfor skrev:

Det är väldigt enkelt att bara köra ett kommando och generera tokens. En token kan vidare inte användas till att t ex stjäla bilen, då det kräver lösenord. Funkar utmärkt med token på t ex A Better Route Planner eller Teslafi.

Kod: Markera allt

curl -X POST -H "Cache-Control: no-cache" -H "Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW" -F "grant_type=password" -F "client_id=81527cff06843c8634fdc09e8ac0abefb46ac849f38fe1e431c2ef2106796384" -F "client_secret=c7257eb71a564034f9419ee651c7d0e5f7aa6bfbd18bafb5c5c033b093bb2fa3" -F "email=YOUR-TESLA-LOGIN-EMAIL@SOMEWHERE.COM" -F "password=YOUR-TESLA-ACCOUNT-PASSWORD" "https://owner-api.teslamotors.com/oauth/token"

Var kör man kommandot?

PowerShell eller CMD (Command Prompt).

Kräver dock att du har curl. Kommer förinstallerat på windows 10 om har build 17063 eller senare.

tackar! Jag använde curl i slutändan så slapp jag fundera

Hur revokerar man ett Tesla-token?
Revokeras tidigare tokens om man byter lösenord på Tesla.com?

RagWal skrev:

Hur revokerar man ett Tesla-token?
Revokeras tidigare tokens om man byter lösenord på Tesla.com?

Ja