Uwierzytelnianie weryfikuje tożsamości i kontroluje dostęp do platformy, obejmując logowanie użytkowników, dane uwierzytelniające API, rotację tokenów oraz ich unieważnianie, aby zapewnić bezpieczeństwo danych klientów.
Uwierzytelnianie to proces weryfikacji, czy ktoś jest tym, za kogo się podaje, zanim uzyska dostęp do platformy. Obejmuje wszystko, od logowania użytkownika na laptopie po integrację po stronie serwera uwierzytelniającą za pomocą klucza API. Ta szczegółowa analiza wyjaśnia, jak platforma obsługuje uwierzytelnianie w sposób bezpieczny — w tym, jak działają tokeny dostępu, jak są utrzymywane w krótkim okresie ważności, aby ograniczyć ryzyko, jak mogą być natychmiast unieważniane w nagłych przypadkach oraz jak klucze bezpieczeństwa są bezpiecznie rotowane w czasie.
Uwierzytelnianie jest jednym z najważniejszych elementów każdej platformy oprogramowania. Awaria w tym obszarze — wyciek tokena, skompromitowane poświadczenie, sesja, której nie można unieważnić — może oznaczać nieautoryzowany dostęp do danych Twoich klientów. Odpowiednie rozwiązanie tego problemu jest kluczowe dla obietnic bezpieczeństwa, które składasz klientom.
Integracje serwer-serwer używają poświadczeń klienta — identyfikatora klienta i sekretu. Działają one podobnie do nazwy użytkownika i hasła, ale są zaprojektowane do użycia programowego. Każdy token wydany klientowi maszynowemu jest rejestrowany z tożsamością integracji i adresem IP, z którego pochodzi.
Platforma utrzymuje listę unieważnień — szybki, rzeczywisty rejestr tokenów, które zostały wyraźnie unieważnione. Każda walidacja tokena sprawdza tę listę. Jeśli token znajduje się na liście, jest natychmiast odrzucany, niezależnie od tego, czy w przeciwnym razie byłby nadal ważny. Oznacza to:
- Skompromitowana sesja może być natychmiast zakończona przez administratora
- Dostęp odchodzącego pracownika jest odcinany w momencie dezaktywacji jego konta
- Skompromitowana integracja może być natychmiast wyłączona
Platforma używa kluczy kryptograficznych do podpisywania tokenów — sposobu matematycznego udowodnienia, że token został wydany przez platformę i nie został zmanipulowany. Klucze te muszą być okresowo rotowane (wymieniane na nowe) jako najlepsza praktyka w zakresie bezpieczeństwa.
Rotacja kluczy jest przeprowadzana ostrożnie, aby uniknąć zakłócania aktywnych sesji:
- Nowe klucze są publikowane przed wygaśnięciem starych
- Tokeny podpisane starymi kluczami nadal działają w czasie okna przejściowego
- Po zakończeniu przejścia stare klucze są wycofywane
- Wydarzenia rotacji kluczy są rejestrowane i mogą wywoływać alerty
Z poziomu panelu administracyjnego:
- Aktywne sesje na użytkownika — oraz możliwość zakończenia dowolnej z nich
- Rejestr ostatnich zdarzeń uwierzytelniania: logowania, odświeżenia tokenów, nieudanych prób, unieważnień
- Powiadomienia o podejrzanej aktywności (np. to samo konto logujące się z dwóch różnych krajów w krótkim odstępie czasu)
Zespół buduje:
Te ulepszenia znacznie wzmocnią warstwę uwierzytelniania i dostarczą Ci weryfikowalnych, testowalnych dowodów na kontrole bezpieczeństwa, które obiecujesz klientom.