@צדיק-תמים כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:
@שלמה-צובל כתוב באתר
יש לשלוח בפרמטר token בפניה ב API או בכותרת (header) בשם ״authorization״
@מוטי-לוין כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:
האם יהיה אפשרות להגביל APY_KEY לנתיב מסיום?
ברירת מחדל, מפתח גישה מורשה לבצע את כל הפעולות כמו התחברות רגילה בAPI. מפתח הגישה פטור מחובת אימות דו-שלבי תמיד, ולכן המפתח יכול לבצע בכל זמן את כל הפעולות, הוא לא מוגבל לשירותים מסויימים, או לפרמטרים מסויימים שאפשר לשלוח איתו ו/או לכתובות ה IP שאפשר לגשת עם המפתח.
ניתן לבצע את ההגבלות הבאות על כל מפתח גישה:
הגבלת כתובות IP לפי רשימה לבנה. שרק כתובות IP מהרשימה שתאשרו יוכלו להשתמש עם המפתח.
הגבלת כתובות IP לפי רשימה שחורה. שרק כתובות IP מהרשימה לא יוכלו להשתמש עם המפתח, ומכל כתובת שלא מוגדרת - יהיה אפשר להשתמש עם המפתח.
הגבלת WS - שמות שירות - לפי רשימה לבנה. מגדיר רשימה לבנה של שירותי API לשימוש עם המפתח.
הגבלת WS - שמות שירות - לפי רשימה שחורה. מגדיר רשימה שחורה של שירותי API לשימוש עם המפתח, כאשר כל השירותים הקיימים מותרים לשימוש - חוץ ממה שרשום ברשימה.
הגבלת פרמטרים ברשימה לבנה - הגבלה כללית של הפרמטרים שניתן לשלוח עם המפתח - כאשר ברירת מחדל כל הפרמטרים לא מותרים - חוץ ממה שמוגדר.
הגבלת פרמטרים ברשימה שחורה - הגבלה כללית של הפרמטרים שניתן לשלוח עם המפתח - כאשר ברירת מחדל כל הפרמטרים מותרים - חוץ ממה שמוגדר.
שימו לב, בכל ההגדרות - הגדרת רשימת לבנה גוברת על רשימה שחורה. כך שאם מוגדרת רשימה לבנה - והבדיקה נכשלה - הגישה לשירות תידחה.
אבל הוא לא נותן להכניס בפרמטרים את what=ivr2:/2/1 למשל
בנתיים זה עדיין לא קיים