<div dir="ltr"><div>But, according to previous posts, I understood that signedrequest/rqlcontroller may evolve to become a replacement of Pyro/ZMQ. It means that it is necessary to find a way to make it usable for real users via an API like cubicweb.dbapi. Otherwise it would be the end of this API.<br>


<br></div>I think it should not be too hard to generate a secret token from a password. For each CWUser, such a token could be kept updated with the password on the server via hooks. The dbapi could, given the password, generate the same secret token (the contrary must be very difficult and time consuming) to use for identification. All this system could be in a specific cube named cubicweb-enableconnectionviadbapiusinghttporhttps (some people may prefer a shorter name) that would depend on signedrequest and rqlcontroller.<br>



</div>