Аутентификация в HTTP-сервисах приложения для неинтерактивных пользователей
Если пользователь представляет собой не человека, а внешнюю информационную систему, то для аутентификации используются токены доступа. Например, внешняя программа хочет вызвать HTTP-сервис, существующий в приложении.
Чтобы предоставить права на ресурсы приложения внешней программе, нужно установить связь между внешней программой и пользователем приложения. В большинстве случаев мы рекомендуем создавать отдельных служебных пользователей для внешних программ.
Пусть в приложении есть HTTP-сервис и пользователь, обладающий правом вызова этого сервиса.
Сначала, один раз, необходимо в приложении получить ключ доступа для этого пользователя.
После этого при каждом вызове HTTP-сервиса внешняя программа должна отправить запрос на получение токена аутентификации по адресу:
http://serverhost:port/applications/{app}/sys/token
Получение токена выполняется с проверкой прав работы пользователя в приложении с помощью токенов.
Формат запроса для получения токена:
POST <URL>
Content-Type: application/x-www-form-urlencoded
Authorization: Basic <Base64(ClientId:ClientSecret)>
grant_type=CLIENT_CREDENTIALS
На встроенном языке этот же запрос может выглядеть следующим образом:
исп Ответ = КлиентHttp.ЗапросPost(<URL>)
.ДобавитьЗаголовок("Content-Type", "application/x-www-form-urlencoded")
.ДобавитьЗаголовок("Authorization", "Basic " + Кодировка.Base64.КодироватьВСтроку("N1_e1NvnB33xjB7IrZCqJT2WHOyR0Ew58vedLLQxXwE=:zd9QHBC_D9Jmurubko7xB97eJqCAQjJk5lNYp7Ny4s4="))
.УстановитьТело("grant_type=CLIENT_CREDENTIALS")
.Выполнить()
В случае успешного получения токена внешняя программа получит ответ в формате JSON:
{
"id_token": "<сериализованный токен аутентификации>",
"token_type": "Bearer"
}
После того как токен получен, можно вызывать HTTP-сервис из приложения. Для этого в запрос нужно добавить заголовок Authorization:
Authorization: Bearer <токен, полученный от менеджера аутентификации>
Токен действителен в течение часа, поэтому если нужно сделать сразу несколько вызовов (возможно разных сервисов), то можно использовать уже полученный токен, не получая его заново.
Если токен устарел, то при вызове HTTP-сервиса вернется ответ с кодом 401. Это значит, что нужно снова запросить токен аутентификации.