(UA) IT/Tech Ukrainians in Canada

t196064840

nometa.xyz/uk.html

t139189834

Є архітектори в чаті? Хочу одну ідею перевірити

t1027899529

Це варіант типу підтвердження айдентиті перед наданням доступу у апі. А що якщо юзати ендроінти апішки? Типу заюзати 2 варіанта. Для введення і отримання даних.

t139189834

але страх що цей ключ вкрадуть

t139189834

він генерується один раз для кастомера зараз

t196064840

Я сначала подумал шо сделать шото вроде letsencrypt.org/docs/challenge-types/ Но потом понял шо фигня А почему бы просто апиключ не генерить и дать его кастомеру?

t139189834

немає аутентифікації, окрім домену; ліміти обговорюються per client basis, але ми в них не впираємось

t139189834

у мене є пропозал: цей публічний ключ матиме ротацію, і якось має генеруватися стороннім oauth-like issuer сервісом і валідуватись нами по отриманню запита

t1027899529

Що по аутентифікації і рейт лімітам?

t139189834

треба намалювать бо ти не зрозумів схему походу

t217328226

Советы уровня бог даю

t196064840

Ну пусть добавят какой-то ендпоинт шо будет выдавать зашифрованный ключ И при авторизации в вашей апликухе помимо домена пусть вводят роу велью этого ключа Вы по оговоренному алго шифруете и проверяете совпадение Клиент в любой момент может поменять ключ на своей стороне и юзать новий если надо

t139189834

перевірити що холдер домену це дійсно той холдер/клієнт, а не крадій

t217328226

Ну таймаут использовать, пост запрос только

t1027899529

О, ще що в голову прийшло. Підписувати апі ключи, типу у кожного юзера буде свій сікрет кей, але то можно стороннім сервісом вирішити. Ну і напевно апі гейтвей можно зробити. Всьо. Якщо хочете більше варіантів - 120 баксів на годину)

t139189834

та мене цікавить як захиститись

t139189834

сказати «не бійтеся» ми вже сказали

t139189834

бо в них є якісь kpi і алерти по цій аналітиці яка збирається з клієнта

t139189834

але це запит кастомера

t196064840

Ну так шо угодно могут украсть)