Use APP_API_KEY for order auth

2026-01-30 12:12:40 +01:00
parent ec2d8945b3
commit 65ec9466eb
2 changed files with 3 additions and 4 deletions
--- a/README.md
+++ b/README.md
@@ -56,10 +56,9 @@ Wenn du diese Datei auf einem Webserver auslieferst, stelle sicher, dass die WaW
 - `SMTP_USER` / `SMTP_PASS` – SMTP Login
 - `SMTP_FROM` – Absender (z. B. `bestand@hellas.welker.me`)
 - `ORDER_TO` – Empfänger, mehrere per Komma
- `ORDER_API_KEY` – optionaler Key für Bestell‑Endpoint `/wawi/order`

 **Optional**
- `APP_API_KEY` – API‑Key für direkten Zugriff auf `/wawi/api/bestand`
+- `APP_API_KEY` – gemeinsamer API‑Key für `/wawi/api/bestand` **und** `/wawi/order`
 - `COOKIE_SECURE` – `1` (default) setzt Secure‑Cookie, `0` deaktiviert für http

 ## Deployment (systemd + Gunicorn)
--- a/wawi/app.py
+++ b/wawi/app.py
@@ -216,7 +216,7 @@ def api_key_required(fn):
    # Schützt API‑Endpoints per X-API-Key oder ?key= Parameter.
    @wraps(fn)
    def wrapper(*args, **kwargs):
-        expected = os.environ.get("APP_API_KEY", "")
+    expected = os.environ.get("APP_API_KEY", "")
        if not expected:
            return jsonify({"error": "API key not configured"}), 500
        provided = request.headers.get("X-API-Key") or request.args.get("key") or ""
@@ -561,7 +561,7 @@ def order():
    if rate_limited(ip):
        return jsonify({"error": "Zu viele Anfragen."}), 429

-    expected_key = os.environ.get("ORDER_API_KEY", "")
+    expected_key = os.environ.get("APP_API_KEY", "")
    if expected_key:
        provided = request.headers.get("X-Order-Key") or request.args.get("key") or ""
        if provided != expected_key: