Страница 1 из 1
Авторизация в API
Добавлено: 05 мар 2023, 19:19
Fait
Здравствуйте!
Я тут хочу поручить одному разработчику сделать модуль, который будет по API связываться с одним сайтом.
И я понял, что давать ему такой доступ очень небезопасно...
Можно ли как-то ограничить действия по API?
Во-первых, чтобы в посылаемые данные не содержали логина и пароля.
То есть по факту, этот программист сможет зайти в систему под этими данными.
Я думаю, здесь хватит просто ключа, который в случае чего можно просто отключить.
Во-вторых, нужно у каждого ключа задавать доступ на чтение/создание/изменение/удаление данных.
В идеале ещё, если у ключа будет задаваться срок действия.
P.S.: Сейчас по факту человек, получивший доступ, может такого натворить!!!
Re: Авторизация в API
Добавлено: 06 мар 2023, 12:17
alexinc
Fait писал(а): ↑05 мар 2023, 19:19
Здравствуйте!
Я тут хочу поручить одному разработчику сделать модуль, который будет по API связываться с одним сайтом.
И я понял, что давать ему такой доступ очень небезопасно...
Можно ли как-то ограничить действия по API?
Во-первых, чтобы в посылаемые данные не содержали логина и пароля.
То есть по факту, этот программист сможет зайти в систему под этими данными.
Я думаю, здесь хватит просто ключа, который в случае чего можно просто отключить.
Во-вторых, нужно у каждого ключа задавать доступ на чтение/создание/изменение/удаление данных.
В идеале ещё, если у ключа будет задаваться срок действия.
P.S.: Сейчас по факту человек, получивший доступ, может такого натворить!!!
А если правильно ограничить логин и пароль? и не давать больше чем нужно? А то получается - права на логин - настрой, права на группу настрой, права на API ключ настрой. Многовато получается настроек для прав. А вот действие API ключа по времени - это да, интересно.
Re: Авторизация в API
Добавлено: 07 мар 2023, 07:54
support
А вы создайте для разработчика отдельного пользователя, который будет иметь доступ только к конкретным сущностям.
После завершения работы просто отключите пользователя и измените API ключ.
Re: Авторизация в API
Добавлено: 07 мар 2023, 12:52
alexinc
support писал(а): ↑07 мар 2023, 07:54
А вы создайте для разработчика отдельного пользователя, который будет иметь доступ только к конкретным сущностям.
После завершения работы просто отключите пользователя и измените API ключ.
а есть ли при таком случае смысл сделать для каждого пользователя свой API ключ? Или к ключу API добавить разрешения для пользователей?
Потому что получается - API ключ общий, и если на него завязано много (ну хотя бы больше 3) внешних процессов, то бегать менять их потом так себе удовольствие.
Re: Авторизация в API
Добавлено: 07 мар 2023, 19:59
Viktor
Хочу поддержать туже тему. Нет необходимости передовать username и password когда есть ключь. Это не безопасно от слова совсем. И тут же вопрос какие cors заголовки ждет ваше APi? так как я не могу получить положительный ответ от crm.