Аутентификация в HTTP-сервисах приложения для неинтерактивных пользователей
Запрос к HTTP-сервису может быть выполнен не конечным пользователем, а внешней системой. Например, запрос доступа к сервису может быть сделан другим приложением или консольной утилитой по расписанию. В этом случае для аутентификации пользователя используются токены доступа. Чтобы предоставить права на ресурсы приложения внешней программе, нужно установить связь между этой программой и пользователем приложения. В большинстве случаев для этого рекомендуется создавать отдельных служебных пользователей для внешних программ.
Настройка доступа внешнего приложения к ресурсу
Пусть в приложении есть HTTP-сервис и пользователь, обладающий правом вызова этого сервиса. Убедиться, что пользователь обладае т правом доступа к данному сервису, можно в свойствах этого сервиса или в YAML-файле. Подробнее о контроле прав доступа читайте здесь. Если для вашего приложения не существует соответствующего пользователя, его необходимо создать, подключить к приложению и т. д.
Далее, один раз, необходимо в приложении получить ключ доступа для этого пользователя.
После этого при каждом вызове HTTP-сервиса внешняя программа должна отправить запрос на получение токена аутентификации по адресу:
http://serverhost:port/applications/{app}/sys/token
где {app} — это название приложения из HTTP-пути публикации. Например, так может выглядеть соответствующая ссылка для Демонстрационного приложения:
http://localhost:9090/applications/DemonstratsionnoePrilozhenie/sys/token
Получение токена выполняется с проверкой прав работы пользователя в приложении с помощью токенов.
Формат запроса для получения токена:
POST <URL>
Content-Type: application/x-www-form-urlencoded
Authorization: Basic <Base64(ClientId:ClientSecret)>
grant_type=CLIENT_CREDENTIALS
Во встроенном языке этот же запрос может выглядеть следующим образом:
метод Скрипт()
исп Ответ = КлиентHttp.ЗапросPost("http://127.0.0.1:9090/applications/DemonstratsionnoePrilozhenie/sys/token").ДобавитьЗаголовок("Content-Type", "application/x-www-form-urlencoded")
.ДобавитьЗаголовок("Authorization", "Basic " + Кодировки.Base64.КодироватьВСтроку(
"YzxctW-0W8dnIQ7q6XMCXV0IwVz3W_kee-c8HByMrjs=:1wEqWtJ7oM0bOuciVOBsJTv_r8v0zkGSf_8lARSHMtA="))
.УстановитьТело("grant_type=CLIENT_CREDENTIALS")
.Выполнить()
;
В случае успешного получения токена внешняя программа получит ответ в формате JSON:
{
"id_token": "<сериализованный токен аутентификации>",
"token_type": "Bearer"
}
После того как токен получен, можно вызывать HTTP-сервис из приложения. Для этого в запрос нужно добавить заголовок Authorization:
Authorization: Bearer <токен, полученный от менеджера аутентификации>
Во встроенном я зыке этот же запрос может выглядеть следующим образом:
// Прочитать ответ из JSON
пер ДанныеОтвета = СериализацияJson.ПрочитатьСоответствие(Ответ.Тело)
// Получить токен из JSON
пер Токен = ДанныеОтвета.Получить("id_token")
исп Статус = КлиентHttp.ЗапросGet("http://127.0.0.1:9090/console/api/v2/applications/1ed76519-66b9-6fcc-9dfa-2f405661fde3")
.ДобавитьЗаголовок("Authorization", "Bearer " + Токен).Выполнить()
Токен действителен в течение часа. Таким образом, можно сделать сразу несколько вызовов (возможно разных сервисов), используя уже полученный токен, а не получая его заново.
Если токен устарел, то при вызове HTTP-сервиса вернется ответ с кодом 401. Это значит, что нужно снова запросить токен аутентификации.