Integracje API wymagają jasnego systemu autoryzacji, a podstawą tego mechanizmu są klucze i żetony. Wdrożyliśmy elastyczny i bezpieczny model zarządzania kluczem API i żetonami JWT, który pozwala dokładnie kontrolować, kto i jak uzyskać dostęp do systemu - czy to sprzęt kasowy, dostawca, usługa zewnętrzna, czy aplikacja mobilna.
Wszystkie połączenia przechodzą przez wbudowaną walidację, są zalogowane i filtrowane, a prawa dostępu mogą być skonfigurowane z dużymi szczegółami.
Rodzaje kluczy i żetonów
| Typ | Opis i cel |
|---|---|
| Klucz API | Unikalny klucz statyczny dla usług, pulpity pieniężne, zaufanych klientów |
| Token JWT | Podpisany token z ograniczonym okresem życia, wbudowanymi prawami i identyfikatorem |
| Powiązanie IP | Ograniczenie użycia klucza/żetonu do określonych adresów IP |
| Tymczasowe żetony | Jednorazowe lub krótkoterminowe żetony dla transakcji chronionych |
| Odśwież żetony | Aby zaktualizować długoterminowe sesje autoryzacji |
Co można skonfigurować
Role i uprawnienia: dostęp do poszczególnych metod, modułów, podmiotów
Ograniczenia geograficzne lub IP
Wskaźnik ważności i przedłużenia tokenu
Podpisywanie tokenu przy użyciu HS256/ RS256
Rejestrowanie wszystkich żądań za pomocą metadanych (IP, czas, status, nagłówki)
Zalety
Wysokie bezpieczeństwo bez utraty elastyczności
Łatwa integracja z usługami zewnętrznymi i wewnętrznymi
Zarządzanie kluczami za pośrednictwem panelu administracyjnego lub API
Pełny audyt i historia wszystkich połączeń
Możliwość szybkiego zastąpienia lub odwołania klucza w razie potrzeby
Tam, gdzie jest to szczególnie istotne
Integracja z usługami zewnętrznymi (CRM, ERP, partnerzy)
Aplikacje mobilne i klienckie
Terminale i serwery POS z ograniczonym dostępem
Systemy o zwiększonych wymaganiach w zakresie bezpieczeństwa informacji
Klucze i żetony API są podstawowym, ale krytycznym elementem bezpiecznego dostępu do API. Zapewniamy solidne kontrole, aby zapewnić bezpieczeństwo, zarządzanie i skalowalność Twoich integracji.