(UA) IT/Tech Ukrainians in Canada

t139189834

немає аутентифікації, окрім домену; ліміти обговорюються per client basis, але ми в них не впираємось

t139189834

у мене є пропозал: цей публічний ключ матиме ротацію, і якось має генеруватися стороннім oauth-like issuer сервісом і валідуватись нами по отриманню запита

t1027899529

Що по аутентифікації і рейт лімітам?

t139189834

треба намалювать бо ти не зрозумів схему походу

t217328226

Советы уровня бог даю

t196064840

Ну пусть добавят какой-то ендпоинт шо будет выдавать зашифрованный ключ И при авторизации в вашей апликухе помимо домена пусть вводят роу велью этого ключа Вы по оговоренному алго шифруете и проверяете совпадение Клиент в любой момент может поменять ключ на своей стороне и юзать новий если надо

t139189834

перевірити що холдер домену це дійсно той холдер/клієнт, а не крадій

t217328226

Ну таймаут использовать, пост запрос только

t1027899529

О, ще що в голову прийшло. Підписувати апі ключи, типу у кожного юзера буде свій сікрет кей, але то можно стороннім сервісом вирішити. Ну і напевно апі гейтвей можно зробити. Всьо. Якщо хочете більше варіантів - 120 баксів на годину)

t139189834

та мене цікавить як захиститись

t139189834

сказати «не бійтеся» ми вже сказали

t139189834

бо в них є якісь kpi і алерти по цій аналітиці яка збирається з клієнта

t139189834

але це запит кастомера

t196064840

Ну так шо угодно могут украсть)

t139189834

Апка декомпілиться і ключ крадеться

t196064840

Так это юзер = человек, открывает сайт и вводит домен и получает доступ к дашборду? Сейчас так работает?

t1027899529

Короч, а реально підписувати апі ключи? Чисто легка криптографія, сікрет кей буде у юзера. Але це ускладнення мені здається.

t139189834

Якщо це на приватному ключі тримається то нє

t139189834

Не тупа, чого, просто не сюди

t475173627

mTLS? :)