Autentisering verifierar identiteter och kontrollerar åtkomst till plattformen, vilket omfattar användarinloggningar, API-uppgifter, tokenrotation och återkallelse för att hålla kunddata säkra.
Autentisering är processen att verifiera att någon är den de säger att de är innan de får tillgång till plattformen. Det omfattar allt från en användare som loggar in på sin bärbara dator till en serverbaserad integration som autentiserar med en API-nyckel. Denna djupdykning förklarar hur plattformen hanterar autentisering på ett säkert sätt — inklusive hur åtkomsttoken fungerar, hur de hålls kortlivade för att begränsa risker, hur de kan återkallas omedelbart i en nödsituation och hur de underliggande säkerhetsnycklarna roteras säkert över tid.
Autentisering är en av de mest kritiska delarna av vilken programvaruplattform som helst. Ett misslyckande här — en läckt token, en komprometterad legitimation, en icke-återkallelig session — kan innebära obehörig åtkomst till dina kunders data. Att få detta rätt är grundläggande för de säkerhetslöften du ger till kunderna.
Server-till-server-integrationer använder klientlegitimationer — ett klient-ID och hemlighet. Dessa fungerar på liknande sätt som ett användarnamn och lösenord men är utformade för programmatisk användning. Varje token som utfärdas till en maskinklient loggas med integrationens identitet och den IP-adress den kom ifrån.
Plattformen upprätthåller en återkallelselista — en snabb, realtidsregistrering av token som har ogiltigförklarats uttryckligen. Varje tokenvalidering kontrollerar denna lista. Om en token finns på listan avvisas den omedelbart, oavsett om den annars skulle vara giltig. Detta innebär:
- En komprometterad session kan avslutas omedelbart av en administratör
- En avgående anställds åtkomst avbryts i det ögonblick deras konto inaktiveras
- En integration som har blivit komprometterad kan inaktiveras omedelbart
Plattformen använder kryptografiska nycklar för att signera token — ett sätt att matematiskt bevisa att en token utfärdades av plattformen och inte har manipulerats. Dessa nycklar behöver roteras periodiskt (ersättas med nya) som en säkerhetsbästa praxis.
Nyckelrotation hanteras noggrant för att undvika att aktiva sessioner störs:
- Nya nycklar publiceras innan gamla går ut
- Token signerade med gamla nycklar fortsätter att fungera under en övergångsperiod
- När övergången är klar pensioneras gamla nycklar
- Nyckelrotationshändelser loggas och kan utlösa varningar
Från administrationspanelen:
- Aktiva sessioner per användare — och möjligheten att avsluta någon av dem
- En logg över senaste autentiseringsevenemang: inloggningar, tokenuppdateringar, misslyckade försök, återkallelser
- Varningar för misstänkt aktivitet (t.ex. samma konto som loggar in från två olika länder i snabb följd)
Teamet bygger:
Dessa förbättringar kommer att stärka autentiseringslagret avsevärt och ge dig verifierbar, testbar bevis på de säkerhetskontroller du lovar kunderna.