Klucze z uprawnieniami - API v4

Tagi: #<Tag:0x00007f2adfeda718> #<Tag:0x00007f2adfeda588>

Proponuję dodać system uprawnić kluczy. O co chodzi?

  • Można wygenerować więcej niż jeden klucz
  • Dla każdego klucza możemy ustalić do jakiego endpointa/zakresu uprawnień posiada dostęp
  • Dla każdego klucza można wybrać adres IP: “moja usługa”, konkretny adres, dowolny adres
  • Możliwość wygenerowania na nowo konkretnego klucza z zachowaniem ustawień.

Powinno poprawić to bezpieczeństwo kont i usług użytkowników API - w razie wycieku klucza z serwera z blokadą IP nikt inny go nie użyje. Dodatkowo w tym miejscu powinien być komunikat, może nawet modal ostrzegający o konsekwencjach udostępniania komuś klucza, w raz z informacją, że jeśli ktoś Ciebie poprosił, to może być to potencjalne oszustwo, a obsługa lvlup nigdy Ciebie o to nie poprosi.

W przypadku wycieku klucza z dowolnym adresem, ale z dostępem, np. tylko do historii transakcji #PDK @Libter osobą, która przechwyciła klucz uzyska tylko dostęp do wąskiej grupy danych, nie będzie mogła, np. wyłączyć serwera.

4lajki

Tak, też już o tym myślałem przy okazji API płatności oraz przyszłego endpointa do reinstalacji systemu na VPS :thonking:

3lajki