Налаштування бандлу

(% id="cke_bm_164641S" style="display:none" %) (%%)Якщо ви захищаєте ваш API через {{code language="none"}}protected_methods{{/code}}, вам необхідно налаштувати токени, по яким буде відкритий доступ.

42

43

Перш за все, треба визначитися з назвою токену.

44

45

== {{code language="none"}}token_key_in_header{{/code}} ==

46

47

Компонент {{code language="none"}}RpcSecurity{{/code}} буде шукати в заголовках запиту специфічний ключ, який ви можете встановити в налаштуваннях пакету, значення за замовченням {{code language="none"}}token_key_in_header: 'Ufo-RPC-Token'{{/code}}, ви можете встановити будь-яке інше значення яке відповідає наступним вимогам.

48

49

{{spoiler title=" Вимоги до формування заголовків протоколу HTTP"}}

50

Вимоги до назв заголовків HTTP не є строго регульованими щодо капіталізації, оскільки HTTP заголовки нечутливі до регістру. Однак, існують деякі загальні практики і стандарти, які зазвичай дотримуються для кращої читабельності та узгодженості:

51

52

- Капіталізація: Зазвичай назви HTTP заголовків пишуться з використанням CamelCase, де кожне слово починається з великої літери, наприклад, Content-Type, User-Agent, Accept-Encoding. Це не впливає на технічну обробку заголовків, але робить їх легше читати.

53

- Унікальність: Кожен заголовок повинен мати унікальну назву у контексті одного HTTP запиту або відповіді. Не можна використовувати однакові назви для різних заголовків у тому самому запиті чи відповіді.

54

- Спеціальні заголовки: Існують заголовки, які використовуються специфічно для контролю поведінки кешування (Cache-Control), безпеки (Strict-Transport-Security), аутентифікації (Authorization), тощо.

55

- Норми RFC: Вимоги до заголовків регулюються документами RFC, які визначають стандарти для протоколів Інтернету. Наприклад, загальні заголовки і їхнє використання описані в RFC 7231.

== {{code language="none"}}clients_tokens{{/code}} ==

68

69

Тепер слід вказати масив клієнтськіх токенів, які будуть мати доступ до API.

70

71

Тут є певна варіативність.

72

73

=== Токени в параметрах ===

74

75

(% class="box errormessage" %)

76

(((

77

**НЕ РЕКОМЕНДОВАНО!!!**

78

\\Цей підхід допускається лише для локального тестування API

79

)))

80

81

Є можливість прописати токени хардкодом прямо в файлі налаштувань.

82

83

Це погано з позиції безпеки, якщо код зберігається в публічному репозиторію, то до цього токену буде мати доступ кожен.

84

85

86

# config/packages/ufo_json_rpc.yaml

87

ufo_json_rpc:

88

security:

89

protected_methods: ['GET', 'POST'] # protection of GET and POST requests

90

token_key_in_header: 'Ufo-RPC-Token' # Name of the key in the header

91

clients_tokens:

92

- 'ClientTokenExample' # hardcoded token example. Importantly!!! Replace or delete it!

=== Токени в змінних оточення ===

97

98

Це найбільш доцільний механізм у разі, якщо ви розробляєте сервіс для розподіленого бекенду, що написаний на SOA (Сервіс-Орієнтована Архітектура). Зазвичай, в такому випадку, вам треба відкрити доступ до апі одному або обмеженій кількості клієнтських додатків і оновлення ключів не буде відбуватися занадто часто.

99

100

В такому випадку можна прописати токени в змінних оточення (файл {{code language="none"}}.env.local{{/code}} під час локальної розробки). Цей механізм достатньо безпечний з боку збереження доступів.

101

102

103

# config/packages/ufo_json_rpc.yaml

104

ufo_json_rpc:

105

security:

106

protected_methods: ['GET', 'POST'] # protection of GET and POST requests

107

token_key_in_header: 'Ufo-RPC-Token' # Name of the key in the header

108

clients_tokens:

109

- '%env(resolve:TOKEN_FOR_APP_1)%' # token example from .env.local

110

- '%env(resolve:TOKEN_FOR_APP_2)%' # token example from .env.local

# .env.local

TOKEN_FOR_APP_1=9363074966579432364f8b73b3318f71

117

TOKEN_FOR_APP_2=456fg87g8h98jmnb8675r4445n8up365

118

Вікі-код для Налаштування бандлу

Навігація

Дочірні Cторінки

Нещодавно переглянуті

author	version	line-number	content
		1	{{box cssClass="floatinginfobox" width="400px" title="Зміст"}}
		2	{{toc/}}
		3	{{/box}}
		4
		5	(% class="wikigeneratedid" %)
		6	Всі налаштування бандла знаходяться в файлі {{code language="none"}}config/packages/ufo_json_rpc.yaml{{/code}}.
		7
		8	(% class="wikigeneratedid" %)
		9	Є можливість налаштувати параметри захисту API та деякі параметри формату даних, що віддається при запиті документації.
		10
		11	= {{code language="none"}}security{{/code}} =
		12
		13	Наразі єдиним механізмом захисту доступу до вашого API є встановлення перевірки ключа доступу (api_token).
		14
		15	== {{code language="none"}}protected_methods{{/code}} ==
		16
		17	(% class="wikigeneratedid" %)
		18	Цей параметр приймає масив назв http методів, які мають бути захищені.
		19
		20	(% class="wikigeneratedid" %)
		21	За замовченням ввімкнут захист лише для методу POST. Ви можете:
		22
		23	* вказати пустий масив {{code language="none"}}[]{{/code}} щоб зробити API повністю відкритим
		24
		25	{{code language="yaml"}}
		26	# config/packages/ufo_json_rpc.yaml
		27	ufo_json_rpc:
		28	security:
		29	protected_methods: []
		30	{{/code}}
		31
		32	* вказати додатково захист для методу GET, що зробить запит документації недоступним без токену в заголовках запиту
		33
		34	{{code language="yaml"}}
		35	# config/packages/ufo_json_rpc.yaml
		36	ufo_json_rpc:
		37	security:
		38	protected_methods: ['GET', 'POST']
		39	{{/code}}
		40
		41	(% id="cke_bm_164641S" style="display:none" %) (%%)Якщо ви захищаєте ваш API через {{code language="none"}}protected_methods{{/code}}, вам необхідно налаштувати токени, по яким буде відкритий доступ.
		42
		43	Перш за все, треба визначитися з назвою токену.
		44
		45	== {{code language="none"}}token_key_in_header{{/code}} ==
		46
		47	Компонент {{code language="none"}}RpcSecurity{{/code}} буде шукати в заголовках запиту специфічний ключ, який ви можете встановити в налаштуваннях пакету, значення за замовченням {{code language="none"}}token_key_in_header: 'Ufo-RPC-Token'{{/code}}, ви можете встановити будь-яке інше значення яке відповідає наступним вимогам.
		48
		49	{{spoiler title=" Вимоги до формування заголовків протоколу HTTP"}}
		50	Вимоги до назв заголовків HTTP не є строго регульованими щодо капіталізації, оскільки HTTP заголовки нечутливі до регістру. Однак, існують деякі загальні практики і стандарти, які зазвичай дотримуються для кращої читабельності та узгодженості:
		51
		52	- Капіталізація: Зазвичай назви HTTP заголовків пишуться з використанням CamelCase, де кожне слово починається з великої літери, наприклад, Content-Type, User-Agent, Accept-Encoding. Це не впливає на технічну обробку заголовків, але робить їх легше читати.
		53	- Унікальність: Кожен заголовок повинен мати унікальну назву у контексті одного HTTP запиту або відповіді. Не можна використовувати однакові назви для різних заголовків у тому самому запиті чи відповіді.
		54	- Спеціальні заголовки: Існують заголовки, які використовуються специфічно для контролю поведінки кешування (Cache-Control), безпеки (Strict-Transport-Security), аутентифікації (Authorization), тощо.
		55	- Норми RFC: Вимоги до заголовків регулюються документами RFC, які визначають стандарти для протоколів Інтернету. Наприклад, загальні заголовки і їхнє використання описані в RFC 7231.
		56	{{/spoiler}}
		57
		58
		59
		60
		61
		62
		63
		64
		65
		66
		67	== {{code language="none"}}clients_tokens{{/code}} ==
		68
		69	Тепер слід вказати масив клієнтськіх токенів, які будуть мати доступ до API.
		70
		71	Тут є певна варіативність.
		72
		73	=== Токени в параметрах ===
		74
		75	(% class="box errormessage" %)
		76	(((
		77	НЕ РЕКОМЕНДОВАНО!!!
		78	\\Цей підхід допускається лише для локального тестування API
		79	)))
		80
		81	Є можливість прописати токени хардкодом прямо в файлі налаштувань.
		82
		83	Це погано з позиції безпеки, якщо код зберігається в публічному репозиторію, то до цього токену буде мати доступ кожен.
		84
		85	{{code language="yaml"}}
		86	# config/packages/ufo_json_rpc.yaml
		87	ufo_json_rpc:
		88	security:
		89	protected_methods: ['GET', 'POST'] # protection of GET and POST requests
		90	token_key_in_header: 'Ufo-RPC-Token' # Name of the key in the header
		91	clients_tokens:
		92	- 'ClientTokenExample' # hardcoded token example. Importantly!!! Replace or delete it!
		93
		94	{{/code}}
		95
		96	=== Токени в змінних оточення ===
		97
		98	Це найбільш доцільний механізм у разі, якщо ви розробляєте сервіс для розподіленого бекенду, що написаний на SOA (Сервіс-Орієнтована Архітектура). Зазвичай, в такому випадку, вам треба відкрити доступ до апі одному або обмеженій кількості клієнтських додатків і оновлення ключів не буде відбуватися занадто часто.
		99
		100	В такому випадку можна прописати токени в змінних оточення (файл {{code language="none"}}.env.local{{/code}} під час локальної розробки). Цей механізм достатньо безпечний з боку збереження доступів.
		101
		102	{{code language="yaml"}}
		103	# config/packages/ufo_json_rpc.yaml
		104	ufo_json_rpc:
		105	security:
		106	protected_methods: ['GET', 'POST'] # protection of GET and POST requests
		107	token_key_in_header: 'Ufo-RPC-Token' # Name of the key in the header
		108	clients_tokens:
		109	- '%env(resolve:TOKEN_FOR_APP_1)%' # token example from .env.local
		110	- '%env(resolve:TOKEN_FOR_APP_2)%' # token example from .env.local
		111	{{/code}}
		112
		113
		114	{{code language="config"}}
		115	# .env.local
		116	TOKEN_FOR_APP_1=9363074966579432364f8b73b3318f71
		117	TOKEN_FOR_APP_2=456fg87g8h98jmnb8675r4445n8up365
		118	{{/code}}