Версія 5.1 додана 2024/05/08 22:30 автором Ashterix
Показати останніх авторів
1 {{box cssClass="floatinginfobox" width="400px" title="**Зміст**"}}
2 {{toc/}}
3 {{/box}}
4
5 (% class="wikigeneratedid" %)
6 Всі налаштування бандла знаходяться в файлі {{code language="none"}}config/packages/ufo_json_rpc.yaml{{/code}}.
7
8 (% class="wikigeneratedid" %)
9 Є можливість налаштувати параметри захисту API та деякі параметри формату даних, що віддається при запиті документації.
10
11 = {{code language="none"}}security{{/code}} =
12
13 Наразі єдиним механізмом захисту доступу до вашого API є встановлення перевірки ключа доступу (api_token).
14
15 == {{code language="none"}}protected_methods{{/code}} ==
16
17 (% class="wikigeneratedid" %)
18 Цей параметр приймає масив назв http методів, які мають бути захищені.
19
20 (% class="wikigeneratedid" %)
21 За замовченням ввімкнут захист лише для методу POST. Ви можете:
22
23 * вказати пустий масив {{code language="none"}}[]{{/code}} щоб зробити API повністю відкритим
24
25 {{code language="yaml"}}
26 # config/packages/ufo_json_rpc.yaml
27 ufo_json_rpc:
28 security:
29 protected_methods: []
30 {{/code}}
31
32 * вказати додатково захист для методу GET, що зробить запит документації недоступним без токену в заголовках запиту
33
34 {{code language="yaml"}}
35 # config/packages/ufo_json_rpc.yaml
36 ufo_json_rpc:
37 security:
38 protected_methods: ['GET', 'POST']
39 {{/code}}
40
41 (% id="cke_bm_164641S" style="display:none" %) (%%)Якщо ви захищаєте ваш API через {{code language="none"}}protected_methods{{/code}}, вам необхідно налаштувати токени, по яким буде відкритий доступ.
42
43 Перш за все, треба визначитися з назвою токену.
44
45 == {{code language="none"}}token_key_in_header{{/code}} ==
46
47 Компонент {{code language="none"}}RpcSecurity{{/code}} буде шукати в заголовках запиту специфічний ключ, який ви можете встановити в налаштуваннях пакету, значення за замовченням {{code language="none"}}token_key_in_header: 'Ufo-RPC-Token'{{/code}}, ви можете встановити будь-яке інше значення яке відповідає наступним вимогам.
48
49 {{spoiler title=" Вимоги до формування заголовків протоколу HTTP"}}
50 Вимоги до назв заголовків HTTP не є строго регульованими щодо капіталізації, оскільки HTTP заголовки нечутливі до регістру. Однак, існують деякі загальні практики і стандарти, які зазвичай дотримуються для кращої читабельності та узгодженості:
51
52 1. Капіталізація: Зазвичай назви HTTP заголовків пишуться з використанням CamelCase, де кожне слово починається з великої літери, наприклад, Content-Type, User-Agent, Accept-Encoding. Це не впливає на технічну обробку заголовків, але робить їх легше читати.
53 2. Унікальність: Кожен заголовок повинен мати унікальну назву у контексті одного HTTP запиту або відповіді. Не можна використовувати однакові назви для різних заголовків у тому самому запиті чи відповіді.
54 3. Спеціальні заголовки: Існують заголовки, які використовуються специфічно для контролю поведінки кешування (Cache-Control), безпеки (Strict-Transport-Security), аутентифікації (Authorization), тощо.
55 4. Норми RFC: Вимоги до заголовків регулюються документами RFC, які визначають стандарти для протоколів Інтернету. Наприклад, загальні заголовки і їхнє використання описані в RFC 7231.
56 {{/spoiler}}
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73 {{code language="yaml"}}
74 # config/packages/ufo_json_rpc.yaml
75 ufo_json_rpc:
76 security:
77 protected_methods: ['GET', 'POST'] # protection of GET and POST requests
78 token_key_in_header: 'Ufo-RPC-Token' # Name of the key in the header
79 clients_tokens:
80 - 'ClientTokenExample' # hardcoded token example. Importantly!!! Replace or delete it!
81 - '%env(resolve:UFO_API_TOKEN)%e' # token example from .env.local
82 {{/code}}
83
84
85 == ==