Все більше установ використовують гнучкі підходи до побудови складних інформаційних систем, серед яких вирізняють сервіси з публічним API.
Однак використання публічного API потребує вирішення певних задач, які постають перед установою:
Опис web-сервісу
«Шифр-Auth» це web-сервіс, який дає змогу створювати та керувати життєвим циклом JWT (JSON Web Token), використання якого дає змогу розмежувати доступ за певними політиками безпеки до публічного АРІ та відхиляти HTTP-запити, які не містять спеціального токену безпеки JWT у заголовку запиту. Визначення автентичності спеціального токену безпеки JWT в заголовку шляхом перевірки електронного підпису (ЕП) та політик безпеки у ньому.
Відрізняються налаштування спеціального токену безпеки JWT звернення до публічного API певними користувачами та автоматизованими системами чи сервісами.
Для того, щоб уникнути таких проблем, розроблено сервіс, який дозволяє:
-
Надавати дозвіл на використання веб-клієнту лише для довірених (авторизованих) користувачів (застосувань).
-
Обмежувати навантаження (кількість запитів, обсягів даних і т.д.) з мережі Інтернет, щоб не впливало на роботу інформаційних систем організації.
-
Маневрувати обчислювальними ресурсами між веб-клієнтом для внутрішнього і зовнішнього використання.
Можливі варіанти реалізації наведені на схемах нижче.
![](/media/%D0%9F%D1%80%D0%BE%D0%B4%D1%83%D0%BA%D1%82%D1%8B/%D0%9E%D0%B1%D0%BB%D0%B0%D1%87%D0%BD%D1%8B%D0%B5%20%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D1%8B/%D0%A8%D0%B8%D1%84%D1%80-Auth/after-ua.png)
Приклад JWT:
eyJraWQiOiJrZXlJZCMzIiwidHlwIjoiSldUIiwiYWxnIjoiRVMyNTYifQ.eyJzdWIiOiJ1c2VyLTAxIiwibmJmIjoxNTc5ODU3ODMyLCJzY29wZSI6WyJBVVRIX0FETUlOSVNUUkFUT1IiLCJVT1NfQVVUSE9SSVpFRF9DTElFTlQiXSwiaXNzIjoiY2lwaGVyQ2NzRGV2Iiwic2ZuIjoi0JrQvtGA0L7Qu9GM0L7QsiDQktCw0YHQuNC70YwiLCJleHAiOjE1Nzk4NjE0MzIsImlhdCI6MTU3OTg1NzgzMiwianRpIjoiNDJiZDlkNDUtYjJmMi00MGM4LTk5Y2ItMmM5MWQyODU5YTkyIn0.HZLfMXA0TddBQLfTHM6wrzKXqp41PpHaprMz9egK2lTqmodwc_RBm8hpgfjUWtnHY8UmhomfiqYOoawTT0YXDQ
Щоб переглянути інформацію про цей JWT, існують ресурси, які у вільному доступі.
Сервіс «Шифр-Auth» надає:
-
Автентифікацію адміністраторів, які мають право управляти JWT.
-
Користувацький web-інтерфейс адміністратора для управління JWT:
-
Перегляд списку.
-
Формування.
-
Видалення.
-
Відкликання.
-
Редагування метаданих.
-
При формуванні JWT використовується ЕП за алгоритмом ECDSA на базі кривої Secp256r1 з використанням хеш-функції SHA-256.
-
Контроль терміну дії JWT, який може задаватись в:
-
Днях.
-
Тижнях.
-
Місцях.
-
Роках.
Демонстрація web-клієнту
Сторінка «Користувачі»
![](/media/%D0%9F%D1%80%D0%BE%D0%B4%D1%83%D0%BA%D1%82%D1%8B/%D0%9E%D0%B1%D0%BB%D0%B0%D1%87%D0%BD%D1%8B%D0%B5%20%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D1%8B/%D0%A8%D0%B8%D1%84%D1%80-Auth/user-1.png)
Сторінка додавання користувача
Сторінка «Клієнти»