API-інтеграції вимагають чіткої системи авторизації, і основою цього механізму є ключі і токени. Ми реалізували гнучку і безпечну модель управління API-ключами і JWT-токенами, яка дозволяє точно контролювати, хто і як може звертатися до вашої системи - будь то касове обладнання, провайдер, зовнішній сервіс або мобільний додаток.
Всі звернення проходять через вбудовану валідацію, логуються і фільтруються, а права доступу можна налаштовувати з високою деталізацією.
Види ключів і токенів
| Тип | Опис та призначення |
|---|---|
| API Key | Унікальний статичний ключ для сервісів, кас, довірених клієнтів |
| JWT Token | Підписаний токен з обмеженим терміном життя, вбудованими правами та ID |
| IP-прив'язка | Обмеження використання ключа/токена тільки з певних IP-адрес |
| Тимчасові токени | Одноразові або короткоживучі токени для захищених операцій |
| Refresh Tokens | Для оновлення сесій в рамках довгострокової авторизації |
Що можна налаштувати
Ролі та дозволи: доступ до окремих методів, модулів, сутностей
Обмеження з географії або IP
Термін дії і частота оновлення токенів
Підпис токенів з використанням HS256/ RS256
Логування всіх запитів з метаданими (IP, час, статус, заголовки)
Переваги
Високий ступінь безпеки без втрати гнучкості
Легка інтеграція із зовнішніми та внутрішніми сервісами
Управління ключами через адміністративну панель або API
Повний аудит та історія всіх викликів
Можливість швидко замінити або відкликати ключ при необхідності
Де особливо актуально
Інтеграції із зовнішніми сервісами (CRM, ERP, партнери)
Мобільні та клієнтські додатки
Касові термінали та сервери з обмеженим доступом
Системи з підвищеними вимогами до інформаційної безпеки
API-ключі і токени - це базовий, але найважливіший елемент захищеного API-доступу. Ми надаємо надійні механізми контролю, щоб ваші інтеграції були безпечними, керованими і масштабованими.