Авторизация в API

[Fait]

Здравствуйте!
Я тут хочу поручить одному разработчику сделать модуль, который будет по API связываться с одним сайтом.

И я понял, что давать ему такой доступ очень небезопасно...
Можно ли как-то ограничить действия по API?
Во-первых, чтобы в посылаемые данные не содержали логина и пароля.
То есть по факту, этот программист сможет зайти в систему под этими данными.
Я думаю, здесь хватит просто ключа, который в случае чего можно просто отключить.

Во-вторых, нужно у каждого ключа задавать доступ на чтение/создание/изменение/удаление данных.
В идеале ещё, если у ключа будет задаваться срок действия.

P.S.: Сейчас по факту человек, получивший доступ, может такого натворить!!!

[alexinc]

Здравствуйте!
Я тут хочу поручить одному разработчику сделать модуль, который будет по API связываться с одним сайтом.

И я понял, что давать ему такой доступ очень небезопасно...
Можно ли как-то ограничить действия по API?
Во-первых, чтобы в посылаемые данные не содержали логина и пароля.
То есть по факту, этот программист сможет зайти в систему под этими данными.
Я думаю, здесь хватит просто ключа, который в случае чего можно просто отключить.

Во-вторых, нужно у каждого ключа задавать доступ на чтение/создание/изменение/удаление данных.
В идеале ещё, если у ключа будет задаваться срок действия.

P.S.: Сейчас по факту человек, получивший доступ, может такого натворить!!!

А если правильно ограничить логин и пароль? и не давать больше чем нужно? А то получается - права на логин - настрой, права на группу настрой, права на API ключ настрой. Многовато получается настроек для прав. А вот действие API ключа по времени - это да, интересно.

[support]

А вы создайте для разработчика отдельного пользователя, который будет иметь доступ только к конкретным сущностям.
После завершения работы просто отключите пользователя и измените API ключ.

[alexinc]

А вы создайте для разработчика отдельного пользователя, который будет иметь доступ только к конкретным сущностям.
После завершения работы просто отключите пользователя и измените API ключ.

а есть ли при таком случае смысл сделать для каждого пользователя свой API ключ? Или к ключу API добавить разрешения для пользователей?
Потому что получается - API ключ общий, и если на него завязано много (ну хотя бы больше 3) внешних процессов, то бегать менять их потом так себе удовольствие.

[Viktor]

Хочу поддержать туже тему. Нет необходимости передовать username и password когда есть ключь. Это не безопасно от слова совсем. И тут же вопрос какие cors заголовки ждет ваше APi? так как я не могу получить положительный ответ от crm.