Ключи доступа
Возникают случаи, когда необходимо произвести интеграцию miniPbx со сторонними системами. Так как в веб интерфейсе (и администратора, и пользователя), используется авторизация основанная на токенах, то её трудно использовать на пример из командной строки (т.е. чтобы авторизоваться, пользователь должен вызвать специальный метод получить auth_token и передавать его с КАЖДЫМ запросом как cookie). Это может быть не всегда удобно или вообще осуществимо. Для решения этой проблемы существуют Api ключи (apikey), специальные цифробуквенные идентификаторы, которые позволяют однозначно идентифицировать пользователя. У одного пользователя, может быть несколько ключей. Каждый ключ может быть ограничен по сроку действия или отключен.
Примеры:
- интерфейс администратора: https://mp.dialog-it.ru/api/db/extnums/short2?api_key=xxx
- пользовательский Интерфейс: https://mp.dtelecom.ru/api/ui/deps?apikey=xxx
Обратите внимание, что ключ предается ОТКРЫТЫМ текстом. Любой, кому известен ваш ключ, сможет выполнить действия от вашего имени!
Поэтому, для обеспечения безопасности:
- Храните ключи в защищенном месте;
- Используйте только протокол HTTPS;
- Для тестов, используйте срочные ключи (с ограниченным сроком действия);
- Если вам не понятно для чего существует тот или иной ключ, выключите его - если что то случится вы всегда сможете включить его обратно;
- Если есть вероятность, что ключ стал известен третьим лицам (злоумышленникам), немедленно заблокируйте ключ и создайте новый;