Шифр-Auth

Все більше установ використовують гнучкі підходи до побудови складних інформаційних систем, серед яких вирізняють сервіси з публічним API.
Однак використання публічного API потребує вирішення певних задач, які постають перед установою:
  • Для користувачів API:
    • Резервування великої кількості обчислювальних ресурсів.
    • Можливість атаки на обчислювальні ресурси ззовні.
    • Пріоритизація запитів від авторизованих користувачів.
  • Для автоматизованих систем чи сервісів установи:
    • Резервування великої кількості ресурсів.
    • Можливість атаки на обчислювальні ресурси ззовні.
    • Пріоритизація запитів від критичних інформаційних систем.

Опис web-сервісу

«Шифр-Auth» це web-сервіс, який дає змогу створювати та керувати життєвим циклом JWT (JSON Web Token), використання якого дає змогу розмежувати доступ за певними політиками безпеки до публічного АРІ та відхиляти HTTP-запити, які не містять спеціального токену безпеки JWT у заголовку запиту. Визначення автентичності спеціального токену безпеки JWT в заголовку шляхом перевірки електронного підпису (ЕП) та політик безпеки у ньому.
Відрізняються налаштування спеціального токену безпеки JWT звернення до публічного API певними користувачами та автоматизованими системами чи сервісами.
Для того, щоб уникнути таких проблем, розроблено сервіс, який дозволяє:
  • Надавати дозвіл на використання веб-клієнту лише для довірених (авторизованих) користувачів (застосувань).
  • Обмежувати навантаження (кількість запитів, обсягів даних і т.д.) з мережі Інтернет, щоб не впливало на роботу інформаційних систем організації.
  • Маневрувати обчислювальними ресурсами між веб-клієнтом для внутрішнього і зовнішнього використання.
Можливі варіанти реалізації наведені на схемах нижче.
 
 
Приклад JWT:
eyJraWQiOiJrZXlJZCMzIiwidHlwIjoiSldUIiwiYWxnIjoiRVMyNTYifQ.eyJzdWIiOiJ1c2VyLTAxIiwibmJmIjoxNTc5ODU3ODMyLCJzY29wZSI6WyJBVVRIX0FETUlOSVNUUkFUT1IiLCJVT1NfQVVUSE9SSVpFRF9DTElFTlQiXSwiaXNzIjoiY2lwaGVyQ2NzRGV2Iiwic2ZuIjoi0JrQvtGA0L7Qu9GM0L7QsiDQktCw0YHQuNC70YwiLCJleHAiOjE1Nzk4NjE0MzIsImlhdCI6MTU3OTg1NzgzMiwianRpIjoiNDJiZDlkNDUtYjJmMi00MGM4LTk5Y2ItMmM5MWQyODU5YTkyIn0.HZLfMXA0TddBQLfTHM6wrzKXqp41PpHaprMz9egK2lTqmodwc_RBm8hpgfjUWtnHY8UmhomfiqYOoawTT0YXDQ
Щоб переглянути інформацію про цей JWT, існують ресурси, які у вільному доступі.
Сервіс «Шифр-Auth» надає:
  • Автентифікацію адміністраторів, які мають право управляти JWT.
  • Користувацький web-інтерфейс адміністратора для управління JWT:
    • Перегляд списку.
    • Формування.
    • Видалення.
    • Відкликання.
    • Редагування метаданих.
  • При формуванні JWT використовується ЕП за алгоритмом ECDSA на базі кривої Secp256r1 з використанням хеш-функції SHA-256.
  • Контроль терміну дії JWT, який може задаватись в:
    • Днях.
    • Тижнях.
    • Місцях.
    • Роках.

Демонстрація web-клієнту

Сторінка «Користувачі»
 
Сторінка додавання користувача
Сторінка «Клієнти»