תיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים
-
ב״ה
עלה תיעוד הAPI של השירות
MFASession.לקוחות או מפתחים שפונים לAPI של ימות המשיח באופן ישיר מאתרים שלהם - כאשר צד השרת הוא ישירות הAPI יכולים להשתמש בו על מנת לפתח אצלכם את המימוש של מנגנון האימות הדו-שלבי.
לקוחות שפונים לAPI מהדפדפן עצמו בממשקים שלא יממשו את הנושא עד תאריך אכיפת השירות, או לקוחות שהפעילו את האכיפה המוקדמת - לא יוכלו להמשיך להשתמש באתר בלי שיהיה אסימון ״זכור אותי״ פעיל ברמת כתובת הIP של הלקוח, ועל כן התיעוד מפורסם בצורה שכל מי שמשתמש עם הצורה הזו יוכל לפתח ולאפשר אימות בצד לקוח ביישום שהוא מפתח.
התיעוד המלא מופיע בשרשור של התיעוד API: https://f2.freeivr.co.il/post/159985
בברכה,
-
@שמואל תודה!
אם אני לא טועה, צריך להוסיף גם כאן https://f2.freeivr.co.il/post/24253
את האופציה של ההתחברות עם API KEY (כרגע כתוב שם עם מספר וסיסמא) -
-
@שמואל כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:
אסימון ״זכור אותי״ פעיל ברמת כתובת הIP של הלקוח
- האסימון נשמר בצד שרת של ימות?
כלומר, אימות דו שלבי בדפדפן יאפשר גישה למערכת גם דרך תוכנות אחרות מאותו מחשב? - אין שינוי בצורת השליחה של טוקן בעקבות הצורך באימות {לאחר שבוצע האימות כמובן}. נכון?
- האסימון נשמר בצד שרת של ימות?
-
@אופיר כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:
האסימון נשמר בצד שרת של ימות?
כלומר, אימות דו שלבי בדפדפן יאפשר גישה למערכת גם דרך תוכנות אחרות מאותו מחשב?לפי כתובת IP - כן.
@אופיר כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:
אין שינוי בצורת השליחה של טוקן בעקבות הצורך באימות {לאחר שבוצע האימות כמובן}. נכון?
אכן.
-
@יעקב-1 כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:
API KEY
נושא API_KEY עוד לא הסתיים - והוא ניתן ללקוחות שמעוניינים לבדוק את הנושא ו/או לתת משוב.
כאשר נסיים עם זה בעז״ה זה יתועד וכו וכו. -
@שמואל באם יש לי מערכת ללא ממשק גרפי כלל
שעושה פעולות בקו
האם זה רלוונטי לי?
או שלחכות למפתח api? -
@שמואל תהיה אפשרות לבצע אימות באמצעות כתובת API ?
זאת אומרת
היום יש מייל או טלפון או SMS
האם תהיה אופציה לעשות את זה עם נטו API זאת אומרת שישלח קוד לכתובת API שאני יאשר מראש ? -
@חוויה-טלפונית כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:
האם תהיה אופציה לעשות את זה עם נטו API זאת אומרת שישלח קוד לכתובת API שאני יאשר מראש ?
מה זה ההמצאה הזו? למה לא פשוט להציג את הקוד באתר וזהו?
איפה שמעת שדבר כזה נקרא ״אימות דו-שלבי״?
איפה פה הגורם השני? -
@שמואל יש תאריך יעד כבר או עדיין לא?
תקופת החגים עמוסה מאוד, ואני לא מצליח להבין האם יש כבר דד ליין לשינוי. או שיש עוד זמן. -
@שמואל האם יש פג תוקף לסשן ההתחברות אחרי האימות? כלומר פעם בכמה זמן יהיה צריך להיות אימות בשביל שהAPI יעבוד כראוי מהשרת שלי?
-
@nyh לטוקן רגיל חצי שעה, לAPI_KEY כחצי שנה
-
@יעקב-1
אני צריך לבצע נעילה על קבצים של אקסל עם פתיחה דרך קוד טלפוני
יש לזה קשר לנאמר כאן ? -
@עושה-שלום כלומר?
-
@אופיר כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:
לAPI_KEY כחצי שנה
כלומר מה שמקבלים דרך אפשרות LOGIN?
-
-
-
@זרח כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:
@y6714453 @אופיר
כמדומני שאפשר להנפיק מפתח ללא תפוגה. עיינו באתר.
@y6714453
@nyh הכוונה כשלא עושים בו שימוש. אם עושים בו שימוש פעם בחצי שנה הוא נשאר, אותו דבר לטוקן רגיל אם עושים בו שימוש לפני שעוברת חצי שעה הוא נשאר -
@אופיר כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:
אותו דבר לטוקן רגיל אם עושים בו שימוש לפני שעוברת חצי שעה הוא נשאר
אבל שם אחרי שבוע הוא מתבטל בכל מקרה
-
@שמואל כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:
@חוויה-טלפונית כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:
האם תהיה אופציה לעשות את זה עם נטו API זאת אומרת שישלח קוד לכתובת API שאני יאשר מראש ?
מה זה ההמצאה הזו? למה לא פשוט להציג את הקוד באתר וזהו?
איפה שמעת שדבר כזה נקרא ״אימות דו-שלבי״?
איפה פה הגורם השני?@חוויה-טלפונית אני אסביר משהו עקרוני: שרתים לא אמורים לעבוד ביכלל עם אימות דו שלבי אלא רק עם api_key.
הם לא אמורים לעבוד עם זה כי הם לא אמורים להיות חשופים לסיסמא של המערכת כלל וכלל!!!
וזאת גם הסיבה שאי אפשר להשאיר את הטוקן של מערכת:סיסמא
השימוש היחיד של סיסמא אמור להיות בהתחברות לאתרים או לממשקים כדוגמת אתר של ניהול תורים וכדו' שם בהתחברות ראשונה יש שימוש בסיסמא כדי לקבל טוקן רגיל עם פקודת Login ושם אפשר גם לבקש בקלות אימות דו שלבי למייל או לטלפון.
בהתאם לזה מובן כבר שהבקשה לאשר מול כתובת api היא לא סבירה.
