Версія 14.2 додана 2024/05/09 18:08 автором Ashterix
Показати останніх авторів
1 {{box cssClass="floatinginfobox" width="400px" title="**Зміст**"}}
2 {{toc/}}
3 {{/box}}
4
5 (% class="wikigeneratedid" %)
6 Всі налаштування бандла знаходяться в файлі {{code language="none"}}config/packages/ufo_json_rpc.yaml{{/code}}.
7
8 (% class="wikigeneratedid" %)
9 Є можливість налаштувати параметри захисту API та деякі параметри формату даних, що віддається при запиті документації.
10
11 = {{code language="none"}}security{{/code}} =
12
13 Наразі єдиним механізмом захисту доступу до вашого API є встановлення перевірки ключа доступу (api_token).
14
15 == {{code language="none"}}protected_methods{{/code}} ==
16
17 (% class="wikigeneratedid" %)
18 Цей параметр приймає масив назв http методів, які мають бути захищені.
19
20 (% class="wikigeneratedid" %)
21 За замовченням ввімкнут захист лише для методу POST. Ви можете:
22
23 * вказати пустий масив {{code language="none"}}[]{{/code}} щоб зробити API повністю відкритим
24
25 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
26 ufo_json_rpc:
27 security:
28 protected_methods: []
29 {{/code}}
30
31 * вказати додатково захист для методу GET, що зробить запит документації недоступним без токену в заголовках запиту
32
33 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
34 ufo_json_rpc:
35 security:
36 protected_methods: ['GET', 'POST']
37 {{/code}}
38
39 (% id="cke_bm_164641S" style="display:none" %) (%%)Якщо ви захищаєте ваш API через {{code language="none"}}protected_methods{{/code}}, вам необхідно налаштувати токени, по яким буде відкритий доступ.
40
41 Перш за все, треба визначитися з назвою токену.
42
43 == {{code language="none"}}token_key_in_header{{/code}} ==
44
45 Компонент {{code language="none"}}RpcSecurity{{/code}} буде шукати в заголовках запиту специфічний ключ, який ви можете встановити в налаштуваннях пакету, значення за замовченням {{code language="none"}}token_key_in_header: 'Ufo-RPC-Token'{{/code}}, ви можете встановити будь-яке інше значення яке відповідає наступним вимогам.
46
47 {{spoiler title=" Вимоги до формування заголовків протоколу HTTP"}}
48 Вимоги до назв заголовків HTTP не є строго регульованими щодо капіталізації, оскільки HTTP заголовки нечутливі до регістру. Однак, існують деякі загальні практики і стандарти, які зазвичай дотримуються для кращої читабельності та узгодженості:
49
50 - Капіталізація: Зазвичай назви HTTP заголовків пишуться з використанням CamelCase, де кожне слово починається з великої літери, наприклад, Content-Type, User-Agent, Accept-Encoding. Це не впливає на технічну обробку заголовків, але робить їх легше читати.
51 - Унікальність: Кожен заголовок повинен мати унікальну назву у контексті одного HTTP запиту або відповіді. Не можна використовувати однакові назви для різних заголовків у тому самому запиті чи відповіді.
52 - Спеціальні заголовки: Існують заголовки, які використовуються специфічно для контролю поведінки кешування (Cache-Control), безпеки (Strict-Transport-Security), аутентифікації (Authorization), тощо.
53 - Норми RFC: Вимоги до заголовків регулюються документами RFC, які визначають стандарти для протоколів Інтернету. Наприклад, загальні заголовки і їхнє використання описані в RFC 7231.
54 {{/spoiler}}
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71 == {{code language="none"}}clients_tokens{{/code}} ==
72
73 Тепер слід вказати масив клієнтськіх токенів, які будуть мати доступ до API.
74
75 Тут є певна варіативність.
76
77 === Токени в параметрах ===
78
79 (% class="box errormessage" %)
80 (((
81 **НЕ РЕКОМЕНДОВАНО!!!**
82 \\Цей підхід допускається лише для локального тестування API
83 )))
84
85 Є можливість прописати токени хардкодом прямо в файлі налаштувань.
86
87 Це погано з позиції безпеки, якщо код зберігається в публічному репозиторію, то до цього токену буде мати доступ кожен.
88
89 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
90 ufo_json_rpc:
91 security:
92 protected_methods: ['GET', 'POST']
93 token_key_in_header: 'Ufo-RPC-Token'
94 clients_tokens:
95 - 'ClientTokenExample' # hardcoded token example. Importantly!!! Replace or delete it!
96
97 {{/code}}
98
99 === Токени в змінних оточення ===
100
101 Це найбільш доцільний механізм у разі, якщо ви розробляєте сервіс для розподіленого бекенду, що написаний на SOA (Сервіс-Орієнтована Архітектура). Зазвичай, в такому випадку, вам треба відкрити доступ до апі одному або обмеженій кількості клієнтських додатків і оновлення ключів не буде відбуватися занадто часто.
102
103 В такому випадку можна прописати токени в змінних оточення (файл {{code language="none"}}.env.local{{/code}} під час локальної розробки). Цей механізм достатньо безпечний з боку збереження доступів.
104
105 (((
106 {{code language="ini" layout="LINENUMBERS" title=".env.local"}}
107 TOKEN_FOR_APP_1=9363074966579432364f8b73b3318f71
108 TOKEN_FOR_APP_2=456fg87g8h98jmnb8675r4445n8up365
109 {{/code}}
110
111 {{code language="yaml" layout="LINENUMBERS" title="config/packages/ufo_json_rpc.yaml"}}
112 ufo_json_rpc:
113 security:
114 protected_methods: ['GET', 'POST']
115 token_key_in_header: 'Ufo-RPC-Token'
116 clients_tokens:
117 - '%env(resolve:TOKEN_FOR_APP_1)%' # token example from .env.local
118 - '%env(resolve:TOKEN_FOR_APP_2)%' # token example from .env.local
119 {{/code}}
120 )))
121
122 === Токени для користувача ===
123
124 Припускаю, що у вас може виникнути потреба зробити персональні ключі для користувачів вашого додатку, можливо ви захочете впровадити ліміти або інші обмеження.
125 В такому випадку вам не потрібно вказувати перелік токенів в конфігах, ви можете зберігати їх в базі даних або іншому місці згідно вашій бізнес-логіки. Єдина вимога, у вас має бути сервіс, який вміє перевіряти чи існує наданий токен.
126
127 Для того, щоб JsonRpcServer міг використовувати вашу логіку, доведеться реалізувати власний клас, що реалізує інтерфейс {{code language="none"}}Ufo\JsonRpcBundle\Security\Interfaces\ITokenValidator{{/code}}
128
129 {{code language="php" layout="LINENUMBERS" title="Приклад власного валідатора токенів"}}
130 <?php
131
132 namespace App\Services\RpcSecurity;
133
134 use App\Services\UserService;
135 use Symfony\Component\Security\Core\Exception\UserNotFoundException;
136 use Ufo\JsonRpcBundle\Security\Interfaces\ITokenValidator;
137 use Ufo\RpcError\RpcInvalidTokenException;
138
139 class UserTokenValidator implements ITokenValidator
140 {
141
142 public function __construct(protected UserService $userService) {}
143
144 public function isValid(string $token): bool
145 {
146 try {
147 $this->userService->getUserByToken($token);
148 return true;
149 } catch (UserNotFoundException $e) {
150 throw new RpcInvalidTokenException(previous: $e);
151 }
152 }
153 }
154 {{/code}}
155
156 (% class="box warningmessage" %)
157 (((
158 **ВАЖЛИВО!!!**
159 Метод {{code language="none"}}isValid{{/code}} має повертати {{code language="none"}}true{{/code}} якщо токен існує і валідний, або викидати {{code language="none"}}Ufo\RpcError\RpcInvalidTokenException{{/code}} в іншому разі.
160 )))
161
162 Після цього вам потрібно в файлі {{code language="none"}}config/services.yaml{{/code}} прописати що класи, що мають залежність від інтерфейса {{code language="none"}}ITokenValidator{{/code}} мають приймати ваш новий клас.
163
164 {{code language="yaml" layout="LINENUMBERS" title="config/services.yaml"}}
165 parameters:
166 # some parameters list
167 # ...
168
169 services:
170 # some services list
171 # ...
172
173 Ufo\JsonRpcBundle\Security\Interfaces\ITokenValidator:
174 class: App\Services\RpcSecurity\UserTokenValidator
175 {{/code}}