Klucze z uprawnieniami - API v4

JanekJaran | 2020-04-16 20:11:51 UTC | #1

Proponuję dodać system uprawnić kluczy. O co chodzi?

• Można wygenerować więcej niż jeden klucz
• Dla każdego klucza możemy ustalić do jakiego endpointa/zakresu uprawnień posiada dostęp
• Dla każdego klucza można wybrać adres IP: “moja usługa”, konkretny adres, dowolny adres
• Możliwość wygenerowania na nowo konkretnego klucza z zachowaniem ustawień.

Powinno poprawić to bezpieczeństwo kont i usług użytkowników API - w razie wycieku klucza z serwera z blokadą IP nikt inny go nie użyje. Dodatkowo w tym miejscu powinien być komunikat, może nawet modal ostrzegający o konsekwencjach udostępniania komuś klucza, w raz z informacją, że jeśli ktoś Ciebie poprosił, to może być to potencjalne oszustwo, a obsługa lvlup nigdy Ciebie o to nie poprosi.

W przypadku wycieku klucza z dowolnym adresem, ale z dostępem, np. tylko do historii transakcji #PDK @Libter osobą, która przechwyciła klucz uzyska tylko dostęp do wąskiej grupy danych, nie będzie mogła, np. wyłączyć serwera.

SystemZ | 2020-04-16 20:11:38 UTC | #2

Tak, też już o tym myślałem przy okazji API płatności oraz przyszłego endpointa do reinstalacji systemu na VPS