最終更新:
Click to expand / collapse
API統合には明確な承認システムが必要であり、キーとトークンがこのメカニズムの基礎となっています。APIキーとJWTトークンを管理するための柔軟で安全なモデルを実装しました。これにより、キャッシュレジスタ機器、プロバイダー、外部サービス、モバイルアプリケーションなど、システムに誰がどのようにアクセスできるかを正確に制御できます。
すべての呼び出しは組み込みの検証を経て、ログとフィルタリングされ、アクセス権は詳細に設定できます。
キーとトークンの種類
| [タイプ] | 説明と目的 |
|---|---|
| APIキー | サービス、現金机、信頼できる顧客のための独特な静的なキー |
| JWTトークン | 限られた寿命、組み込みの権利およびIDの署名されたトークン |
| IPバインディング | キー/トークンの使用を特定のIPアドレスに制限する |
| 一時トークン | 保護された取引のためのワンタイムトークンまたは短期トークン |
| トークンの更新 | 長期承認セッションを更新するには |
設定できるもの
役割と権限: アクセス、個々のメソッド、モジュール、エンティティに
地理またはIPの制限
トークンの有効期限と更新率
を使用したトークン署名
すべてのリクエストをメタデータ(IP、時間、ステータス、ヘッダー)でログに記録する)
利点
柔軟性を損なうことなく高いセキュリティ
外部および内部サービスとの容易な統合
管理パネルまたはAPIによるキー管理
すべての通話の完全な監査と履歴
必要に応じてキーをすばやく交換または取り消す機能
特に関連する場合
外部サービスとの統合(CRM、 ERP、パートナー)
モバイルおよびクライアントアプリケーション
アクセスが制限されているPOS端末およびサーバ
情報セキュリティ要件が強化されたシステム