Перейти к содержанию

Аутентификация

Критическое предупреждение о безопасности

Система аутентификации в настоящее время НЕБЕЗОПАСНА для использования в производственной среде. Аудит безопасности выявил две критические уязвимости:

  1. Обход аутентификации: В настоящее время система аутентифицирует агентов только по их ID, без проверки секрета или пароля. Это означает, что любой, кто знает ID агента, может выдать себя за него.
  2. Секретный ключ JWT по умолчанию: Система использует стандартный, жестко закодированный секретный ключ JWT, если безопасный ключ не предоставлен через переменную окружения JWT_SECRET_KEY.

Не развертывайте эту систему в производственной среде до тех пор, пока эти проблемы не будут устранены.

Все эндпоинты API (за исключением публичных проверок состояния) требуют аутентификации на основе Агента с использованием Bearer Token.

Аутентификация с помощью Bearer Token

Вы должны включать заголовок Authorization с токеном вашего агента в каждый запрос. Токен должен иметь префикс Bearer.

curl -H "Authorization: Bearer <your-jwt-access-token>" \
     https://api.ordinaut.example.com/v1/tasks

Области действия и разрешения агента

Аутентификация привязана к конкретному Агенту, у которого есть набор областей действия (scopes), предоставляющих ему разрешение на выполнение определенных действий. Если агент попытается выполнить действие за пределами разрешенных ему областей, API вернет ошибку 403 Forbidden.

Ответы об ошибках

  • 401 Unauthorized: Возвращается, если токен недействителен или отсутствует.
  • 403 Forbidden: Возвращается, если токен действителен, но у агента отсутствуют необходимые области действия.