Версія 19.5 додана 2024/05/16 11:21 автором Ashterix
Показати останніх авторів
1 {{box cssClass="floatinginfobox" title="**Зміст**"}}
2 {{toc/}}
3 {{/box}}
4
5 (% class="wikigeneratedid" %)
6 Всі налаштування бандла знаходяться в файлі {{code language="none"}}config/packages/ufo_json_rpc.yaml{{/code}}.
7
8 (% class="wikigeneratedid" %)
9 Є можливість налаштувати параметри захисту API та деякі параметри формату даних, що віддається при запиті документації.
10
11 = Блок {{code language="none"}}security{{/code}} =
12
13 Наразі єдиним механізмом захисту доступу до вашого API є встановлення перевірки ключа доступу (api_token).
14
15 == Параметр {{code language="none"}}protected_methods{{/code}} ==
16
17 (% class="wikigeneratedid" %)
18 Цей параметр приймає масив назв http методів, які мають бути захищені.
19
20 (% class="wikigeneratedid" %)
21 За замовченням ввімкнут захист лише для методу POST. Ви можете:
22
23 * вказати пустий масив {{code language="none"}}[]{{/code}} щоб зробити API повністю відкритим
24
25 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
26 ufo_json_rpc:
27 security:
28 protected_methods: []
29 {{/code}}
30
31 * вказати додатково захист для методу GET, що зробить запит документації недоступним без токену в заголовках запиту
32
33 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
34 ufo_json_rpc:
35 security:
36 protected_methods: ['GET', 'POST']
37 {{/code}}
38
39 (% id="cke_bm_164641S" style="display:none" %) (%%)Якщо ви захищаєте ваш API через {{code language="none"}}protected_methods{{/code}}, вам необхідно налаштувати токени, по яким буде відкритий доступ.
40
41 Перш за все, треба визначитися з назвою токену.
42
43 == Параметр {{code language="none"}}token_key_in_header{{/code}} ==
44
45 Компонент {{code language="none"}}RpcSecurity{{/code}} буде шукати в заголовках запиту специфічний ключ, який ви можете встановити в налаштуваннях пакету, значення за замовченням {{code language="none"}}token_key_in_header: 'Ufo-RPC-Token'{{/code}}, ви можете встановити будь-яке інше значення яке відповідає наступним вимогам.
46
47 {{spoiler title=" Вимоги до формування заголовків протоколу HTTP"}}
48 Вимоги до назв заголовків HTTP не є строго регульованими щодо капіталізації, оскільки HTTP заголовки нечутливі до регістру. Однак, існують деякі загальні практики і стандарти, які зазвичай дотримуються для кращої читабельності та узгодженості:
49
50 - Капіталізація: Зазвичай назви HTTP заголовків пишуться з використанням CamelCase, де кожне слово починається з великої літери, наприклад, Content-Type, User-Agent, Accept-Encoding. Це не впливає на технічну обробку заголовків, але робить їх легше читати.
51 - Унікальність: Кожен заголовок повинен мати унікальну назву у контексті одного HTTP запиту або відповіді. Не можна використовувати однакові назви для різних заголовків у тому самому запиті чи відповіді.
52 - Спеціальні заголовки: Існують заголовки, які використовуються специфічно для контролю поведінки кешування (Cache-Control), безпеки (Strict-Transport-Security), аутентифікації (Authorization), тощо.
53 - Норми RFC: Вимоги до заголовків регулюються документами RFC, які визначають стандарти для протоколів Інтернету. Наприклад, загальні заголовки і їхнє використання описані в RFC 7231.
54 {{/spoiler}}
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70 == Параметр {{code language="none"}}clients_tokens{{/code}} ==
71
72 Тепер слід вказати масив клієнтськіх токенів, які будуть мати доступ до API.
73
74 Тут є певна варіативність.
75
76 === Токени в параметрах ===
77
78 (% class="box errormessage" %)
79 (((
80 **НЕ РЕКОМЕНДОВАНО!!!**
81 \\Цей підхід допускається лише для локального тестування API
82 )))
83
84 Є можливість прописати токени хардкодом прямо в файлі налаштувань.
85
86 Це погано з позиції безпеки, якщо код зберігається в публічному репозиторію, то до цього токену буде мати доступ кожен.
87
88 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
89 ufo_json_rpc:
90 security:
91 protected_methods: ['GET', 'POST']
92 token_key_in_header: 'Ufo-RPC-Token'
93 clients_tokens:
94 - 'ClientTokenExample' # hardcoded token example. Importantly!!! Replace or delete it!
95
96 {{/code}}
97
98 === Токени в змінних оточення ===
99
100 Це найбільш доцільний механізм у разі, якщо ви розробляєте сервіс для розподіленого бекенду, що написаний на SOA (Сервіс-Орієнтована Архітектура). Зазвичай, в такому випадку, вам треба відкрити доступ до апі одному або обмеженій кількості клієнтських додатків і оновлення ключів не буде відбуватися занадто часто.
101
102 В такому випадку можна прописати токени в змінних оточення (файл {{code language="none"}}.env.local{{/code}} під час локальної розробки). Цей механізм достатньо безпечний з боку збереження доступів.
103
104 (((
105 {{code language="ini" layout="LINENUMBERS" title=".env.local"}}
106 TOKEN_FOR_APP_1=9363074966579432364f8b73b3318f71
107 TOKEN_FOR_APP_2=456fg87g8h98jmnb8675r4445n8up365
108 {{/code}}
109
110 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
111 ufo_json_rpc:
112 security:
113 protected_methods: ['GET', 'POST']
114 token_key_in_header: 'Ufo-RPC-Token'
115 clients_tokens:
116 - '%env(resolve:TOKEN_FOR_APP_1)%' # token example from .env.local
117 - '%env(resolve:TOKEN_FOR_APP_2)%' # token example from .env.local
118 {{/code}}
119 )))
120
121 === Токени для користувача ===
122
123 Припускаю, що у вас може виникнути потреба зробити персональні ключі для користувачів вашого додатку, можливо ви захочете впровадити ліміти або інші обмеження.
124 В такому випадку вам не потрібно вказувати перелік токенів в конфігах, ви можете зберігати їх в базі даних або іншому місці згідно вашій бізнес-логіки. Єдина вимога, у вас має бути сервіс, який вміє перевіряти чи існує наданий токен.
125
126 Для того, щоб JsonRpcServer міг використовувати вашу логіку, доведеться реалізувати власний клас, що реалізує інтерфейс {{code language="none"}}Ufo\JsonRpcBundle\Security\Interfaces\ITokenValidator{{/code}}
127
128 {{code language="php" layout="LINENUMBERS" title="==== Приклад власного валідатора токенів ===="}}
129 <?php
130
131 namespace App\Services\RpcSecurity;
132
133 use App\Services\UserService;
134 use Symfony\Component\Security\Core\Exception\UserNotFoundException;
135 use Ufo\JsonRpcBundle\Security\Interfaces\ITokenValidator;
136 use Ufo\RpcError\RpcInvalidTokenException;
137
138 class UserTokenValidator implements ITokenValidator
139 {
140
141 public function __construct(protected UserService $userService) {}
142
143 public function isValid(string $token): true
144 {
145 try {
146 $this->userService->getUserByToken($token);
147 return true;
148 } catch (UserNotFoundException $e) {
149 throw new RpcInvalidTokenException(previous: $e);
150 }
151 }
152 }
153 {{/code}}
154
155 (% class="box warningmessage" %)
156 (((
157 **ВАЖЛИВО!!!**
158 Метод {{code language="none"}}isValid{{/code}} має повертати {{code language="none"}}true{{/code}} якщо токен існує і валідний, або викидати {{code language="none"}}Ufo\RpcError\RpcInvalidTokenException{{/code}} в іншому разі.
159 )))
160
161 Після цього вам потрібно в файлі {{code language="none"}}config/services.yaml{{/code}} прописати що класи, що мають залежність від інтерфейса {{code language="none"}}ITokenValidator{{/code}} мають приймати ваш новий клас.
162
163 {{code language="yaml" layout="LINENUMBERS" title="config/services.yaml"}}
164 parameters:
165 # some parameters list
166 # ...
167
168 services:
169 # some services list
170 # ...
171
172 Ufo\JsonRpcBundle\Security\Interfaces\ITokenValidator:
173 class: App\Services\RpcSecurity\UserTokenValidator
174 {{/code}}
175
176 = (% id="cke_bm_29916S" style="display:none" %) (%%)Блок {{code language="none"}}async{{/code}} =
177
178 Цей блок для налаштування [[асинхронного транспорту>>doc:.functionality.async.WebHome]].
179
180 Додайте параметр {{code language="none"}}rpc_async{{/code}} який містить рядок у форматі DSN. Цей рядок є конфігурацією [[Symfony Messenger>>https://symfony.com/doc/current/messenger.html]], він вказує на асинхронний транспорт по якому RPC Server буде очікувати вхідні запити якщо у вас запущений консюмер ({{code language="none"}}php bin/console messenger:consume rpc_async{{/code}}). Для більш детального розуміння цього процесу читайте документацію [[Symfony Messenge>>https://symfony.com/doc/current/messenger.html]].
181
182 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
183 ufo_json_rpc:
184 async:
185 rpc_async: '%env(resolve:RPC_TRANSPORT_DSN)%'
186
187 {{/code}}
188
189 = Блок {{code language="none"}}docs{{/code}} =
190
191 Це блок який налаштовує генерацію документації коли ви робите GET запит на RPC Server
192
193 == Секція {{code language="none"}}response{{/code}} ==
194
195 Містить налаштування, що відповідають за вміст відповіді.
196
197 === Параметр {{code language="none"}}key_for_methods{{/code}} ===
198
199 Цей параметр дозволяє вказати назву ключа у відповіді в якій буде віддаватися масив доступних сервісів.
200
201 Значення за замовченням {{code language="none"}}methods{{/code}}. Може мати будь-яке значення типу рядок.
202
203 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
204 ufo_json_rpc:
205 docs:
206 key_for_methods: methods
207 {{/code}}
208
209 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
210 ufo_json_rpc:
211 docs:
212 key_for_methods: services
213 {{/code}}
214
215 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
216 ufo_json_rpc:
217 docs:
218 key_for_methods: some_custom_key
219 {{/code}}
220
221 === Параметр {{code language="none"}}async_dsn_info{{/code}} ===
222
223 Відповідає за відображення в документації інформації про асинхронний транспорт.
224
225 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
226 ufo_json_rpc:
227 async_dsn_info: true # or false
228 {{/code}}
229
230 ==== **Приклад документації ** ====
231
232 {{code language="json" layout="LINENUMBERS" title="GET: /api"}}
233 {
234 "envelope": "JSON-RPC-2.0/UFO-RPC-6",
235 "contentType": "application/json",
236 "description": "",
237 "transport": {
238 "sync": {
239 "scheme": "http",
240 "host": "example.com",
241 "path": "/api",
242 "method": "POST"
243 },
244 "async": {
245 "scheme": "amqp",
246 "user": "{user}",
247 "pass": "{pass}",
248 "host": "async_rabbit",
249 "port": 5672,
250 "path": "/%2f/json-rpc"
251 }
252 },
253 "methods": {
254 ...
255 }
256 }
257 {{/code}}
258
259 {{info}}
260 Не переймайтеся щодо безпеки ваших авторизаційних даних. що містяться в DSN.
261
262 Документатор побудований таким чином, що перед виводом інформації про DSN він видаляє дані про користувача і його пароль, а також інші секретні дані, як то токени, секретні ключі, тощо.
263
264 Шаблон, по якому відбувається захист {{code language="none"}}/([\w\d_]*(?:secret|access|token|key)[_\w]*)=((?:\w|\d)+(?=&?))/{{/code}}.
265
266 Приклад:
267
268 {{code language="json" layout="LINENUMBERS" title="RPC_TRANSPORT_DSN=https://sqs.eu-west-3.amazonaws.com/123456789012/messages?access_key=AKIAIOSFODNN7EXAMPLE&secret_key=j17M97ffSVoKI0briFoo9a"}}
269 {
270 "async": {
271 "scheme": "https",
272 "host": "sqs.eu-west-3.amazonaws.com",
273 "path": "/123456789012/messages",
274 "query": "access_key={access_key}&secret_key={secret_key}"
275 }
276 }
277 {{/code}}
278 {{/info}}
279
280 === Параметр {{code language="none"}}validations{{/code}} ===
281
282 Відповідає за відображення в документації методів додаткових блоків, що вказують на вимоги до валідації даних.
283
284 Наразі цей блок має два можливих налаштування:
285
286 * {{code language="none"}}json_schema: <bool>{{/code}}
287 * {{code language="none"}}symfony_asserts: <bool>{{/code}}
288
289 У всіх опцій в цьому параметрі значення за замовченням {{code language="none"}}false{{/code}}, тобто ці блоки не будуть відображатися в документації.
290 Якщо ви потребуєте якийсь з цих блоків інформації при запиті документації, то встановіть значення в {{code language="none"}}true{{/code}}.
291
292 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
293 ufo_json_rpc:
294 docs:
295 json_schema: true
296 symfony_asserts: true
297 {{/code}}
298
299 ==== **Приклад документації ** ====
300
301 (% class="box infomessage" %)
302 (((
303 В цьому прикладі я видалив вміст обʼєктів symfony_assertions для спрощення прикладу.
304 Детальніше про валідацію методів дивись сторінку **[[Валідація процедур>>doc:.add_rpc_service.assertions.WebHome]]**
305 )))
306
307 {{code language="json" layout="LINENUMBERS" title="GET: /api"}}
308 {
309 "envelope": "JSON-RPC-2.0/UFO-RPC-6",
310 "contentType": "application/json",
311 "description": "",
312 "transport": {
313 "sync": {
314 "scheme": "https",
315 "host": "example.com",
316 "path": "/api",
317 "method": "POST"
318 }
319 },
320 "methods": {
321 "getUserNameByUuid": {
322 "name": "getUserNameByUuid",
323 "description": "Get username by id",
324 "parameters": {
325 "userId": {
326 "type": "string",
327 "name": "userId",
328 "description": "User id in uuid format",
329 "optional": false
330 }
331 },
332 "returns": "string",
333 "responseFormat": "string",
334 "json_schema": {
335 "$schema": "http://json-schema.org/draft-07/schema#",
336 "type": "object",
337 "properties": {
338 "userId": {
339 "type": "string"
340 }
341 },
342 "required": [
343 "userId"
344 ]
345 },
346 "symfony_assertions": {
347 "userId": [
348 {
349 "class": "Symfony\\Component\\Validator\\Constraints\\Uuid",
350 "context": {}
351 }
352 ]
353 }
354 },
355 "sendEmail": {
356 "name": "sendEmail",
357 "description": "Send mail",
358 "parameters": {
359 "email": {
360 "type": "string",
361 "name": "email",
362 "description": "",
363 "optional": false
364 },
365 "subject": {
366 "type": "string",
367 "name": "subject",
368 "description": "",
369 "optional": false
370 },
371 "text": {
372 "type": "string",
373 "name": "text",
374 "description": "",
375 "optional": false
376 }
377 },
378 "returns": "boolean",
379 "responseFormat": "boolean",
380 "json_schema": {
381 "$schema": "http://json-schema.org/draft-07/schema#",
382 "type": "object",
383 "properties": {
384 "email": {
385 "type": "string",
386 "format": "email"
387 },
388 "subject": {
389 "type": "string",
390 "minLength": 1,
391 "maxLength": 100
392 },
393 "text": {
394 "type": "string",
395 "minLength": 10
396 }
397 },
398 "required": [
399 "email",
400 "subject",
401 "text"
402 ]
403 },
404 "symfony_assertions": {
405 "email": [
406 {
407 "class": "Symfony\\Component\\Validator\\Constraints\\Email",
408 "context": {}
409 }
410 ],
411 "subject": [
412 {
413 "class": "Symfony\\Component\\Validator\\Constraints\\NotBlank",
414 "context": {}
415 },
416 {
417 "class": "Symfony\\Component\\Validator\\Constraints\\Length",
418 "context": {}
419 }
420 ],
421 "text": [
422 {
423 "class": "Symfony\\Component\\Validator\\Constraints\\NotBlank",
424 "context": {}
425 },
426 {
427 "class": "Symfony\\Component\\Validator\\Constraints\\Length",
428 "context": {}
429 }
430 ]
431 }
432 }
433 }
434 }
435 {{/code}}