REST API

remchik · Сообщение **remchik** » 18 мар 2024, 11:53

syrorybin писал(а): ↑18 мар 2024, 11:50
Fait писал(а): ↑18 мар 2024, 11:15
syrorybin писал(а): ↑18 мар 2024, 10:18 То есть, с ключом АПИ, пользователь с правом добавления и без права на просмотр записей, может все равно всю базу выгрузить (стыбзить)?
В моменте стало страшно.
А как это "с правом добавления, но без права просмотра"?

Да и ключ API каким образом к сотруднику может попасть?
Предоставляю партнеру АПИ ключ, который отправляет заявки.
Создаю пользователя, через которого он добавляет записи.
Отключаю доступ к просмотру всех записей.

Я бы вот не давал прямой апи к системе, через прокладочку бы сделал. Ключик то не уникальный.

remchik · Сообщение **remchik** » 18 мар 2024, 11:53

remchik писал(а): ↑18 мар 2024, 11:53
syrorybin писал(а): ↑18 мар 2024, 11:50
Fait писал(а): ↑18 мар 2024, 11:15

А как это "с правом добавления, но без права просмотра"?

Да и ключ API каким образом к сотруднику может попасть?
Предоставляю партнеру АПИ ключ, который отправляет заявки.
Создаю пользователя, через которого он добавляет записи.
Отключаю доступ к просмотру всех записей.
Я бы вот не давал прямой апи к системе, через прокладочку бы сделал. Ключик то не уникальный.
и методы в прокладке описал

Fait · Сообщение **Fait** » 18 мар 2024, 12:08

syrorybin писал(а): ↑18 мар 2024, 11:50
Fait писал(а): ↑18 мар 2024, 11:15
syrorybin писал(а): ↑18 мар 2024, 10:18 То есть, с ключом АПИ, пользователь с правом добавления и без права на просмотр записей, может все равно всю базу выгрузить (стыбзить)?
В моменте стало страшно.
А как это "с правом добавления, но без права просмотра"?

Да и ключ API каким образом к сотруднику может попасть?
Предоставляю партнеру АПИ ключ, который отправляет заявки.
Создаю пользователя, через которого он добавляет записи.
Отключаю доступ к просмотру всех записей.

Нельзя никому давать API ключ!
Может, лучше сделаете вебхук, на который партнёр будет присылать данные, а этот вебхук обрабатывает информацию и добавляет записи в систему.
И тогда не нужно никакого доступа к API давать.
Да и форма заявки будет проще для партнёра

syrorybin · Сообщение **syrorybin** » 18 мар 2024, 13:23

Пока в данном процессе я ближе к 0..
Иду по пути наименьшего сопротивления и это то, в чем получилось разобраться, чтобы быстро решить вопрос.

С вебхуками были большие проблемы, в Битрикс24, данные по всем лидам воровались обратными запросами.

Подскажите риски передачи АПИ, верно понимаю, что выгрузить любые данные смогут, даже с закрытым доступом?

Fait · Сообщение **Fait** » 18 мар 2024, 13:37

syrorybin писал(а): ↑18 мар 2024, 13:23 Пока в данном процессе я ближе к 0..
Иду по пути наименьшего сопротивления и это то, в чем получилось разобраться, чтобы быстро решить вопрос.

С вебхуками были большие проблемы, в Битрикс24, данные по всем лидам воровались обратными запросами.

Подскажите риски передачи АПИ, верно понимаю, что выгрузить любые данные смогут, даже с закрытым доступом?

А также риск передачи по API - помимо считывания всех данных, это возможность удалить вообще все данные из системы. Вряд ли это случится, но вероятность имеется.

remchik · Сообщение **remchik** » 19 мар 2024, 08:25

я не думаю, что кто то проверял Руководитель на взлом и инъекции

Хорошее правило =
Ваша система за шлюзом, в который ходит ваша прокладка, а все системы ходят к прокладке.

nruslan2 · Сообщение **nruslan2** » 19 мар 2024, 08:58

проверяли)
и тут на форуме, и в инете видел ссылку по которой каждую версию тестят энтузиасты(ссылку не подскажу потерял()

CRM Руководитель - Форум

REST API

Re: REST API

Re: REST API

Re: REST API

Re: REST API

Re: REST API

Re: REST API

Re: REST API