(UA) IT/Tech Ukrainians in Canada

t217328226

Советы уровня бог даю

t196064840

Ну пусть добавят какой-то ендпоинт шо будет выдавать зашифрованный ключ И при авторизации в вашей апликухе помимо домена пусть вводят роу велью этого ключа Вы по оговоренному алго шифруете и проверяете совпадение Клиент в любой момент может поменять ключ на своей стороне и юзать новий если надо

t139189834

перевірити що холдер домену це дійсно той холдер/клієнт, а не крадій

t217328226

Ну таймаут использовать, пост запрос только

t1027899529

О, ще що в голову прийшло. Підписувати апі ключи, типу у кожного юзера буде свій сікрет кей, але то можно стороннім сервісом вирішити. Ну і напевно апі гейтвей можно зробити. Всьо. Якщо хочете більше варіантів - 120 баксів на годину)

t139189834

та мене цікавить як захиститись

t139189834

сказати «не бійтеся» ми вже сказали

t139189834

бо в них є якісь kpi і алерти по цій аналітиці яка збирається з клієнта

t139189834

але це запит кастомера

t196064840

Ну так шо угодно могут украсть)

t139189834

Апка декомпілиться і ключ крадеться

t196064840

Так это юзер = человек, открывает сайт и вводит домен и получает доступ к дашборду? Сейчас так работает?

t1027899529

Короч, а реально підписувати апі ключи? Чисто легка криптографія, сікрет кей буде у юзера. Але це ускладнення мені здається.

t139189834

Якщо це на приватному ключі тримається то нє

t139189834

Не тупа, чого, просто не сюди

t475173627

mTLS? :)

t1027899529

Так, тупа ідея, згоден

t139189834

як їх відрізнити, якщо ціль е2е імітувати юзера якомога сильніше

t139189834

уяви просто в тебе є реальний юзер і наприклад е2е тест якій імітує юзера

t196064840

Я думал авто, типо в бекграунде риквесты шлет клиент