А служба безопасности по рукам не надаёт за хранение хешпароля в открытом виде в конфигах сервера? Да и делать одного пользователя для вызовов апи тоже как то не секьюрно. Что если использовать vault hashicorp например, для получения данных авторизации ?
@@ilyanizamov пытаюсь понять где , с точки зрения безопасности необходим доступ без данных авторизации? Это как в файле VRD прописать пользователя и пароль, а потом помнить, что он там есть. И, если кто-то изменит это значение ( пароль) то нужно пойти в эти Файлы и изменить их там же. Зачем менять, вы меня спросите? Потому что есть политики безопасности, которые , например, требуют при увольнении ключевого сотрудника вскрыть белый конверт и перебить пароли
Дьявол кроется в деталях, а если к вам летит запрос с Authorization другого типа, например токен с яндекс маркета. Понятно, что в маркете можно выбрать вариант авторизации. А иначе надо менять в заголовкам Authorization на что-то типа Auth и его анализировать в коде.
@@ilyanizamov Предположим сервис может добавить заголовок с Authorization с токеном вида XXXXXXX и все. И вот к вам летит запрос, в заголовке с Authorization , вы его меняете на свой "Basic...." Но вам же надо проверить ,что это пришел запрос от верного сервиса, а не левого. Мы рассматриваем вариант ,что у вас открыт api миру и люди могут насканить ваши url. Но так да, можно поставить ограничение по IP в nginx и уже не анализировать токен в коде 1С.
@@ilyanizamov Ну а так, я решил вопрос просто, сервис апач запущен от пользователя и этот-же пользователь стоит в виндоуз авторизации в 1С. И ngnix не нужен
Здравствуйте.А можно как-то получить информацию о сертификате пользователя (CN из Subject, например или отпечаток), отправившего http запрос и тоже вставить в заголовок? Просто нужна авторизация по сертификату.
Так тоже можно, но есть нюансы. Каждый выбирает свой способ. Если у вас через эту публикацию настроен тонкий клиент, то он будет пускать в базу без аутентификации
Курс HTTP в 1С для начинающих nizamov.school/courses/integration1s/beginer2/?
Лет пять искал ответ на этот вопрос. Респект
Спасибо
Можно ещё отредактировать vrd файл и дальше рулить правами пользователя)
За видео спасибо, способ однозначно в копилку)
Да, про указание пользователя в vrd файле я расскажу в следующем видео.
Так раньше и делал
@@whynot8140 отлично!
Тсссс...тихо .тут человек построив бигдата энторпрайз веб-сервер поверх веб-сервера...вместо того что бы прочитать ИТС про параметры врд файла и
А служба безопасности по рукам не надаёт за хранение хешпароля в открытом виде в конфигах сервера? Да и делать одного пользователя для вызовов апи тоже как то не секьюрно.
Что если использовать vault hashicorp например, для получения данных авторизации ?
А и что будет, если доберутся до конфига с хешем пароля? Вы получите те же самые данные, что и не зная его.
Хотя если доберутся до конфига web сервера, тут уже вопросы к секьюрности другого плана. Как минимум ssh.
@@ilyanizamov пытаюсь понять где , с точки зрения безопасности необходим доступ без данных авторизации? Это как в файле VRD прописать пользователя и пароль, а потом помнить, что он там есть. И, если кто-то изменит это значение ( пароль) то нужно пойти в эти Файлы и изменить их там же.
Зачем менять, вы меня спросите? Потому что есть политики безопасности, которые , например, требуют при увольнении ключевого сотрудника вскрыть белый конверт и перебить пароли
Такого рода костыли нужны допустим для бота ВКонтакте, так как он не умеет передавать аутентификацию при запросах.
Дьявол кроется в деталях, а если к вам летит запрос с Authorization другого типа, например токен с яндекс маркета. Понятно, что в маркете можно выбрать вариант авторизации. А иначе надо менять в заголовкам Authorization на что-то типа Auth и его анализировать в коде.
Если сервис позволяет делать аутентификацию, то можете не городить огород
@@ilyanizamov Предположим сервис может добавить заголовок с Authorization с токеном вида XXXXXXX и все. И вот к вам летит запрос, в заголовке с Authorization , вы его меняете на свой "Basic...." Но вам же надо проверить ,что это пришел запрос от верного сервиса, а не левого. Мы рассматриваем вариант ,что у вас открыт api миру и люди могут насканить ваши url. Но так да, можно поставить ограничение по IP в nginx и уже не анализировать токен в коде 1С.
@@ilyanizamov Ну а так, я решил вопрос просто, сервис апач запущен от пользователя и этот-же пользователь стоит в виндоуз авторизации в 1С. И ngnix не нужен
@@ggguuiis а веб клиент работает в таком случае или сразу авторизуется под пользователем от которого запущен апач?
Здравствуйте.А можно как-то получить информацию о сертификате пользователя (CN из Subject, например или отпечаток), отправившего http запрос и тоже вставить в заголовок? Просто нужна авторизация по сертификату.
Не знаю, маловероятно. Может быть что-то на уровне web сервера можно сделать
В конфиге default.vrd можно креды прописать ib="Srvr="ServerName";Ref="dbname";Usr=login;Pwd=pass". К конфигу доступ только админу сделать.
Так тоже можно, но есть нюансы. Каждый выбирает свой способ. Если у вас через эту публикацию настроен тонкий клиент, то он будет пускать в базу без аутентификации
Где можно скачать батникик СПАСИБО
Забыл упомянуть что после хеша символ равно (=) нужно ручками добавить...
комент для ютуба
Спасибо
НУ и дичъ
proxy_pass_header кажется лишняя