Стратегии безопасности

Под стратегиями безопасности понимется набор ограничений в доступе к данным.

Существует три стратегии безопасности:

• Максимально защищенная
• Защищенная
• Разработка

Максимально защищенная стратегии

Максимално защищенная стратегии безопасности включает набор всех средств управление доступом к данным на уровне API системы, а именно:

1. Применения фильтрации получаемых аттрибутов объектов исходя из роли пользователя;
2. Применение ролевых ограничений на оторажение полей на формах;
3. Применение ролевых ограничений на получение списка объектов.

Например: При запросе списка объектов в ответ будут включены только те аттрибуты, для которых явно прописано право доступа на просмотр для текущей роли пользователя.

Важно! Данное стратегия применяется по-умолчанию для запроса получение объектов шаблонов для данной роли.

Сервисы авторизации/аутентификации

Для осуществления операций бесшовной работы пользователей между всеми службами, в том числе для осуществления авторизации/аутентификации существует набор сервисов:

• Auth
• SSO
• Proxy + IS

Auth - сервис аутентификации по-средством интеграции с внешними сервисами (VK, Google, Mail.ru, Yandex и д.р), авторизации через email, телефон.

IS (Identity Server) - сервис идентификации. Осуществляет хранение списка пользователей и карты ролей доступа (запрашивает у текущих сервисов в момент настройки прав доступа пользователя). Осуществляет выдачу JWT-токенов и их обновление.

SSO (Single Sign-On) - сервер единого входа во все настроенные сервисы с использованием механизма авторизации/аутентификации «один раз» при единократной входе. Хранит в памяти карту текущих авторизаций пользователей и в случае обращения пользователя к ресурсу.

Proxy - сервис проксирования запросов между внутренними сервисами.

Каждый сервис в момент старта получает сессионный секретный ключ, которым он будет расшифровавать JWT-токены, полученные в запросах.
Для этого каждый сервис делает запрос на получения SessionSecretKey (SSK) от IS.