Здравствуйте!
Я тут хочу поручить одному разработчику сделать модуль, который будет по API связываться с одним сайтом.
И я понял, что давать ему такой доступ очень небезопасно...
Можно ли как-то ограничить действия по API?
Во-первых, чтобы в посылаемые данные не содержали логина и пароля.
То есть по факту, этот программист сможет зайти в систему под этими данными.
Я думаю, здесь хватит просто ключа, который в случае чего можно просто отключить.
Во-вторых, нужно у каждого ключа задавать доступ на чтение/создание/изменение/удаление данных.
В идеале ещё, если у ключа будет задаваться срок действия.
P.S.: Сейчас по факту человек, получивший доступ, может такого натворить!!!
Авторизация в API
-
- Сообщения: 393
- Зарегистрирован: 03 мар 2022, 21:40
- Имя: Alex
- Откуда: Россия
- Контактная информация:
Re: Авторизация в API
А если правильно ограничить логин и пароль? и не давать больше чем нужно? А то получается - права на логин - настрой, права на группу настрой, права на API ключ настрой. Многовато получается настроек для прав. А вот действие API ключа по времени - это да, интересно.Fait писал(а): ↑05 мар 2023, 19:19 Здравствуйте!
Я тут хочу поручить одному разработчику сделать модуль, который будет по API связываться с одним сайтом.
И я понял, что давать ему такой доступ очень небезопасно...
Можно ли как-то ограничить действия по API?
Во-первых, чтобы в посылаемые данные не содержали логина и пароля.
То есть по факту, этот программист сможет зайти в систему под этими данными.
Я думаю, здесь хватит просто ключа, который в случае чего можно просто отключить.
Во-вторых, нужно у каждого ключа задавать доступ на чтение/создание/изменение/удаление данных.
В идеале ещё, если у ключа будет задаваться срок действия.
P.S.: Сейчас по факту человек, получивший доступ, может такого натворить!!!
- support
- Техническая поддержка
- Сообщения: 9230
- Зарегистрирован: 19 окт 2014, 18:22
- Имя: Харчишин Сергей
- Откуда: Крым, Евпатория
Re: Авторизация в API
А вы создайте для разработчика отдельного пользователя, который будет иметь доступ только к конкретным сущностям.
После завершения работы просто отключите пользователя и измените API ключ.
После завершения работы просто отключите пользователя и измените API ключ.
-
- Сообщения: 393
- Зарегистрирован: 03 мар 2022, 21:40
- Имя: Alex
- Откуда: Россия
- Контактная информация:
Re: Авторизация в API
а есть ли при таком случае смысл сделать для каждого пользователя свой API ключ? Или к ключу API добавить разрешения для пользователей?
Потому что получается - API ключ общий, и если на него завязано много (ну хотя бы больше 3) внешних процессов, то бегать менять их потом так себе удовольствие.
-
- Сообщения: 57
- Зарегистрирован: 25 мар 2020, 12:27
- Имя: Лянкевич-Комлев Виктор
- Откуда: Республика Беларусь, г. Минск
- Организация: ООО Трудовая Сеть
Re: Авторизация в API
Хочу поддержать туже тему. Нет необходимости передовать username и password когда есть ключь. Это не безопасно от слова совсем. И тут же вопрос какие cors заголовки ждет ваше APi? так как я не могу получить положительный ответ от crm.