תיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים

אופיר

@עושה-שלום כלומר?

nyh

@אופיר כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

לAPI_KEY כחצי שנה

כלומר מה שמקבלים דרך אפשרות LOGIN?

y6714453

@nyh

@אופיר כתב...

לAPI_KEY כחצי שנה

כלומר מה שמקבלים דרך אפשרות LOGIN?

לא! הטוקן שמגיע דרך Login הוא זה שתקף לחצי שעה. API_Key זה מה שמנפיקים באתר של הניהול בלשונית אבטחה אחרי אימות קשיח.

@אופיר כתבת למעלה ש:

לטוקן רגיל חצי שעה, לAPI_KEY כחצי שנה

מנין לך שזה תקף לחצי שנה?

זרח

@y6714453 @אופיר
כמדומני שאפשר להנפיק מפתח ללא תפוגה. עיינו באתר.

אופיר

@זרח כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

@y6714453 @אופיר
כמדומני שאפשר להנפיק מפתח ללא תפוגה. עיינו באתר.

@y6714453
@nyh הכוונה כשלא עושים בו שימוש. אם עושים בו שימוש פעם בחצי שנה הוא נשאר, אותו דבר לטוקן רגיל אם עושים בו שימוש לפני שעוברת חצי שעה הוא נשאר

פלמנמוני

@אופיר כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

אותו דבר לטוקן רגיל אם עושים בו שימוש לפני שעוברת חצי שעה הוא נשאר

אבל שם אחרי שבוע הוא מתבטל בכל מקרה

שמחה - זו הסיסמא

@שמואל כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

@חוויה-טלפונית כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

האם תהיה אופציה לעשות את זה עם נטו API זאת אומרת שישלח קוד לכתובת API שאני יאשר מראש ?

מה זה ההמצאה הזו? למה לא פשוט להציג את הקוד באתר וזהו?
איפה שמעת שדבר כזה נקרא ״אימות דו-שלבי״?
איפה פה הגורם השני?

@חוויה-טלפונית אני אסביר משהו עקרוני: שרתים לא אמורים לעבוד ביכלל עם אימות דו שלבי אלא רק עם api_key.
הם לא אמורים לעבוד עם זה כי הם לא אמורים להיות חשופים לסיסמא של המערכת כלל וכלל!!!
וזאת גם הסיבה שאי אפשר להשאיר את הטוקן של מערכת:סיסמא
השימוש היחיד של סיסמא אמור להיות בהתחברות לאתרים או לממשקים כדוגמת אתר של ניהול תורים וכדו' שם בהתחברות ראשונה יש שימוש בסיסמא כדי לקבל טוקן רגיל עם פקודת Login ושם אפשר גם לבקש בקלות אימות דו שלבי למייל או לטלפון.
בהתאם לזה מובן כבר שהבקשה לאשר מול כתובת api היא לא סבירה.

חכמון

לסקריפטים של גוגל שיטס כבר יש פיתרון איך ליצור להם api_key?
(מייל לפלאפון).

ז"למאן

@שמחה-זו-הסיסמא
הבעיה שרוב רובם של פקודות הAPI הנפוצות בשימוש, הם מהגרסאות שלא נתמכות (כרגע?) במפתח גישה.
אי לכך, באמת יעזור מאד מאד אם אחד מהמנהלים כאן יוכל לכתוב מפורשות, כי עד תאריך היעד לאכיפת האימות הדו-שלבי, מפתחות גישה (אפילו עם הגבלות וכו') יתמכו בכלל שירותי הAPI.
או למצער, לכתוב מפורשות שלא, והציבור ידע להערך בהתאם.

עידו

@שמואל לא הבנתי מה אני אמור לעשות בזה.
אם אני רוצה לדוגמא להפעיל צינתוקים, במידה והוספתי את הIP של השרת לרשימה לבנה, מה אני צריך לעשות?
קודם כל login עם מספר:סיסמא ואז את הטוקן שמתקבל להשתמש בו בRunTzintuk?
ואם אין לי רשימה לבנה עדיין אז אני משתמש בMFASession עם try? ואז מה?

עידו

@שמואל אשמח התייחסות לנושא, זה חשוב לי מאוד, אני באמצע פיתוח API ללקוח.
תודה

אופיר

@שמואל גם לי זה די דחוף, לפחות תעדכן מה הצפי..

שמואל

@אופיר כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

@שמואל גם לי זה די דחוף, לפחות תעדכן מה הצפי..

צפי בשביל מה?

אביי ורבא

@שמואל מתי כלל הAPI השונים יעבדו עם המפתחות וכל העדכונים החדשים, והאם אכן בתחילת החודש הבא יתחיל חובת האימות הדו שלבי או שזה ידחה מעט

שמואל

@אביי-ורבא כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

@שמואל מתי כלל הAPI השונים יעבדו עם המפתחות וכל העדכונים החדשים, והאם אכן בתחילת החודש הבא יתחיל חובת האימות הדו שלבי או שזה ידחה מעט

הצפי הוא כמה שיותר מהר.
יתכן שהתאריך ידחה קצת, אבל לא בטוח.
בעיקרון המנגנון של האימות הדו-שלבי מוכן והוא נותן מענה כמעט לכל הצרכים. (חוץ מלקוחות שצריכים להתחבר מכל צי הכתובות IP של גוגל).

הAPI_KEYS הוא מנגנון חדש שמאפשר גמישות רבה והוא פחות קריטי ממש ובא כתוספת.

אביי ורבא

@שמואל כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

הAPI_KEYS הוא מנגנון חדש שמאפשר גמישות רבה והוא פחות קריטי ממש ובא כתוספת.

א"א להפעיל את האימות הדו שלבי לפני שהAPI עובד עם המפתחות, אם יש לי תוכנה שמתחברת למערכת ומורידה דוחו"ת - ואני רוצה לעדכן אותה, אני לא יכול לתת לה להשתמש באימות דו שלבי, כי כל הרעיון הוא שהתוכנה יכולה לרוץ עצמאית, אז העדכון צריך להיות לשימוש עם API KEY

יעקב 1

@שמואל אז הapikey לא יעבוד לפני הכניסה לתוקף של האימות? זה ממש חשוב לי לדעת, כי בינתיים לא ביקשתי ממתכנת שישנה לי את הקוד לlogin כי סמכתי על זה שאוכל רק לשנות את הapikey...

sumone

@שמואל כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

הAPI_KEYS הוא מנגנון חדש שמאפשר גמישות רבה והוא פחות קריטי ממש ובא כתוספת.

סורי, אבל בשבילי (ואני מאמין שבשביל עוד הרבה).
הAPI KEY זה הדרך היחידה להישאר בשימוש הקודם כשרק מחליפים את הטוקן ממספר מערכת:סיסמא, לAPI KEY.

ולהתחיל להטמיע את המנגנון אימות דו שלבי - בהרבה פרויקטים זה סתם מורכב ומציק.

זה יהיה מאוד מורכב אם השימוש בAPI KEY לא יהיה מושלם לפני האכיפה.

אנא...
ובלי קשר API KEY זה הדרך הנכונה יותר לאימות בAPI מאשר אימות דו שלבי,
ההוכחה הכי גדולה היא שככה כולם משתמשים,
עדיין לא נתקלתי בשימוש בAPI שצריך לבצע אימות דו שלבי...

sumone

אם זה מורכב
אני חושב שכולם יעדיפו שבשלב ראשון יהיה רק API KEY אפי' בלי ההגבלות וכו',
ושרק יעבוד בצורה בסיסית בכל האנדפוינטים,

צדיק תמים

@שמואל כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

@אופיר כתב בתיעוד API לטובת ניהול וביצוע אימות דו-שלבי - לטובת מפתחי ממשקים חיצוניים:

@שמואל גם לי זה די דחוף, לפחות תעדכן מה הצפי..

צפי בשביל מה?

לא צפי אלא לדעת שלא יהיה ביטול של משתמש:סיסמה לפני שזה מוכן
ואם לא -
א. למה לשבור המון לקוחות (או להכריח אותם להשקיע כסף כדי לא לשבור את המערכת בינתיים) כדי לא לדחות טיפה, מאכזב מאוד
ואי אפשר לומר "בעיה שלכם שלא השתמשתם בלוגין מההתחלה" כשהדרך של משתמש:סיסמה היתה מתועדת רשמית כדרך לגיטימית
ב. מצופה שזה יובהר בצורה ברורה ויהיה זמן להתאים את המערכות לשימוש בלוגין ורענון טוקן, אנשים לא עשו את זה כי הבינו שיהיה פתרון שלא דורש שכתוב של הקוד