Все більше установ використовують гнучкі підходи до побудови складних інформаційних систем, серед яких вирізняють сервіси з публічним API.
Однак використання публічного API потребує вирішення певних задач, які постають перед установою:
Опис web-сервісу
«Шифр-Auth» це web-сервіс, який дає змогу створювати та керувати життєвим циклом JWT (JSON Web Token), використання якого дає змогу розмежувати доступ за певними політиками безпеки до публічного АРІ та відхиляти HTTP-запити, які не містять спеціального токену безпеки JWT у заголовку запиту. Визначення автентичності спеціального токену безпеки JWT в заголовку шляхом перевірки електронниого підпису (ЕП) та політик безпеки у ньому.
Відрізняються налаштування спеціального токену безпеки JWT звернення до публічного API певними користувачами та автоматизованими системами чи сервісами.
Для того, щоб уникнути таких проблем, розроблено сервіс, який дозволяє:
-
Надавати дозвіл на використання веб-клієнту лише для довірених (авторизованих) користувачів (застосувань).
-
Обмежувати навантаження (кількість запитів, обсягів даних і т.д.) з мережі Інтернет, щоб не впливало на роботу інформаційних систем організації.
-
Маневрувати обчислювальними ресурсами між веб-клієнтом для внутрішнього і зовнішнього використання.
Можливі варіанти реалізації наведені на схемах нижче.
Приклад JWT:
eyJraWQiOiJrZXlJZCMzIiwidHlwIjoiSldUIiwiYWxnIjoiRVMyNTYifQ.eyJzdWIiOiJ1c2VyLTAxIiwibmJmIjoxNTc5ODU3ODMyLCJzY29wZSI6WyJBVVRIX0FETUlOSVNUUkFUT1IiLCJVT1NfQVVUSE9SSVpFRF9DTElFTlQiXSwiaXNzIjoiY2lwaGVyQ2NzRGV2Iiwic2ZuIjoi0JrQvtGA0L7Qu9GM0L7QsiDQktCw0YHQuNC70YwiLCJleHAiOjE1Nzk4NjE0MzIsImlhdCI6MTU3OTg1NzgzMiwianRpIjoiNDJiZDlkNDUtYjJmMi00MGM4LTk5Y2ItMmM5MWQyODU5YTkyIn0.HZLfMXA0TddBQLfTHM6wrzKXqp41PpHaprMz9egK2lTqmodwc_RBm8hpgfjUWtnHY8UmhomfiqYOoawTT0YXDQ
Щоб переглянути інформацію про цей JWT, існують ресурси, які у вільному доступі.
Сервіс «Шифр-Auth» надає:
-
Автентифікацію адміністраторів, які мають право управляти JWT.
-
Користувацький web-інтерфейс адміністратора для управління JWT:
-
Перегляд списку.
-
Формування.
-
Видалення.
-
Відкликання.
-
Редагування метаданих.
-
При формуванні JWT використовується ЕП за алгоритмом ECDSA на базі кривої Secp256r1 з використанням хеш-функції SHA-256.
-
Контроль терміну дії JWT, який може задаватись в:
-
Днях.
-
Тижнях.
-
Місцях.
-
Роках.
Демонстрація web-клієнту
Сторінка «Користувачі»
Сторінка додавання користувача
Сторінка «Клієнти»