Налаштування авторизації для Webhooks потрібне, щоб забезпечити безпеку та для підтвердження справжності запитів, що надсилаються на сервер.
Webhooks дозволяють веб-програмам отримувати автоматичні повідомлення від інших веб-програм, коли відбуваються певні події. Однак, це також означає, що зловмисники можуть використовувати Webhooks для надсилання небажаних запитів, які можуть пошкодити або порушити роботу сервера.
Налаштування авторизації для Webhooks дозволяє серверу перевірити, що запити надходять від довіреного джерела, яке має право надсилати ці запити. Це досягається шляхом використання різних методів автентифікації та авторизації.
Існує кілька видів авторизацій для Webhooks, які забезпечують безпеку та захист від небажаних запитів.
Розглянемо ті, що є в нашій системі.
Basic Authentication.
Це метод аутентифікації, який використовує логін та пароль для автентифікації запитів. Веб-додаток повинен надсилати логін та пароль у заголовку запиту, який потім перевіряється на сервері.
Щоб його активувати в розділі Webhooks при створенні запиту, достатньо вибрати тип Авторизації:
OAuth 2.0.
Це стандартний протокол авторизації, який дозволяє користувачам надавати доступ до своїх ресурсів на сторонніх веб-сайтах або програмах без надання їм своїх облікових даних. OAuth використовує токени доступу для обміну інформацією між веб-застосунками.
Щоб активувати цей тип авторизації аналогічно у розділі Webhooks при створенні запиту, достатньо вибрати відповідний тип Авторизації:
І заповнити наступні поля:
Ім'я токена - довільне ім'я токена.
Callback URL - це URL-адреса, на яку сервіс надсилає відповідь після завершення процедури авторизації. Він використовується для передачі токена доступу та інших параметрів, необхідних подальшої роботи з API.
Зазначений вами Callback URL повинен точно відповідати адресі, яку ви вказали під час реєстрації додатка.
Auth URL - це URL-адреса, на яку користувач надсилається для початку процедури авторизації в додатку або на сайті. На цій сторінці користувач може ввести свої облікові дані та підтвердити згоду на доступ до своїх даних у провайдерному сервісі.
Access token URL - це URL-адреса, яка використовується під час аутентифікації для отримання токена доступу до API. Коли програма запитує доступ до захищених ресурсів, вона надає свій ідентифікатор та секретний ключ на сервері автентифікації, який повертає токен доступу на Access token URL. Цей токен має обмежений термін дії та використовується для авторизації запитів до API сервісу-провайдера.
Client ID (ідентифікатор клієнта) – це унікальний ідентифікатор, який присвоюється додатком під час реєстрації на сервісі-провайдері. Він використовується для ідентифікації програми при запиті доступу до API та отримання токена доступу.
Client Secret (секретний ключ клієнта) – це секретний ключ, який присвоюється додатком під час реєстрації на сервісі-провайдері для використання його API. Він використовується в поєднанні з Client ID для автентифікації програми та отримання токена доступу.
Scope - це параметр, який використовується при аутентифікації визначення того, яких ресурсів API додаток може отримати доступ. Він вказується при запиті доступу до захищених ресурсів та визначає рівень доступу програми. Наприклад, scope може вказувати на доступ лише до певних типів даних або лише на читання даних, але не запис.
У якому вигляді передати ключі доступу - при запиті на отримання access_token, сервіс, у якому ви проходите авторизацію, може вимагати передачу client_secret як параметр у тілі запиту або у вигляді Basic заголовка. Ключ Рінгостат тягне із вашої зовнішньої системи.
Приклад готового заповненого блоку з авторизаційними даними:
