Шифр-Auth

Все больше организаций используют гибкие подходы к построению сложных информационных систем, среди которых выделяются сервисы с публичным API.
Но использование публичного API требует решения определенных задач, которые стоят перед организацией:
  • Для пользователей API:
    • Резервирование большого количества вычислительных ресурсов.
    • Возможность атаки на вычислительные ресурсы снаружи.
    • Приоритизация запросов от авторизованных пользователей.
  • Для автоматизированих систем или сервисом организации:
    • Резерверирование большого количества ресурсов.
    • Возможность атаки на вычислительные ресурсы снаружи.
    • Приоритизация запросов от критических информационных систем.

Описание web-сервиса

«Шифр-Auth» это web-сервис, который предоставляет возможность создавать и управлять жизненным циклом JWT (JSON Web Token), использование которого предоставляет возможность разграничивать доступ по некоторым политикам безопасности к публичному АРІ и отклонять HTTP-запросы, которые не содержат специальный токен безопасности JWT в заголовке запроса. Определение аутентичности специального токена безопасности JWT в заголовке путем проверки электронной подписи (ЭП) и политик безопасности в нем.
Отличаются настройки специального токена безопасности JWT обращение к публичному API некоторым пользователями и автоматизированными системами или сервисами.
Для того, чтобы избежать таких проблем, разработано сервис, который позволяет:
  • Предоставлять разрешение на использование веб-клиента только для доверенных (авторизованных) пользователей (приложений).
  • Ограничение нагрузки (количество запросов, объемов данных и т.д.) с сети Интернет, чтобы не не влияло на работу информационных систем организации.
  • Маневрирование вычислительными ресурсами между веб-клиентом для внутреннего и внешнего использования.
Возможные варианты реализации приведены на схемах ниже.
 
Пример JWT:
eyJraWQiOiJrZXlJZCMzIiwidHlwIjoiSldUIiwiYWxnIjoiRVMyNTYifQ.eyJzdWIiOiJ1c2VyLTAxIiwibmJmIjoxNTc5ODU3ODMyLCJzY29wZSI6WyJBVVRIX0FETUlOSVNUUkFUT1IiLCJVT1NfQVVUSE9SSVpFRF9DTElFTlQiXSwiaXNzIjoiY2lwaGVyQ2NzRGV2Iiwic2ZuIjoi0JrQvtGA0L7Qu9GM0L7QsiDQktCw0YHQuNC70YwiLCJleHAiOjE1Nzk4NjE0MzIsImlhdCI6MTU3OTg1NzgzMiwianRpIjoiNDJiZDlkNDUtYjJmMi00MGM4LTk5Y2ItMmM5MWQyODU5YTkyIn0.HZLfMXA0TddBQLfTHM6wrzKXqp41PpHaprMz9egK2lTqmodwc_RBm8hpgfjUWtnHY8UmhomfiqYOoawTT0YXDQ
Чтобы просмотреть информацию об этом JWT, существуют ресурсы в свободном доступе.

Сервис «Шифр-Auth» предоставляет:
  • Аутентификацию администраторов, которые имеют право на управление JWT.
  • Пользовательский web-интерфейс администратора для управдения JWT:
    • Просмотрт списка.
    • Формирование.
    • Удаление.
    • Отзыв.
    • Редактирование метаданных.
  • При формировании JWT используется ЭП за алгоритмом ECDSA на базе кривой Secp256r1 с использование хэш-функции SHA-256.
  • Контроль срока действия JWT, который можно задать в:
    • Днях.
    • Неделях.
    • Месяцах.
    • Годах.

Демонстрация web-клиента

Страница «Користувачі»
Страница добавления пользователя

Страница «Клієнти»