Новый способ авторизации в Wialon

Мы всегда заботились о безопасности данных наших клиентов. Поэтому в  целях повышения безопасности авторизации пользователей в продуктах Wialon Hosting и Wialon Local мы провели довольно кропотливую работу по реализации современного, более защищённого механизма авторизации по принципу oAuth.

Старый способ авторизации просуществует до 1 октября 2015. Поэтому партнёрам, которые реализовали свои формы входа на сайт мониторинга или использовали ссылки для демо-логина, нужно будет перейти на новый механизм авторизации.

Data-protection

В чём заключается наша реализация oAuth?

  • В целях безопасности форма авторизации для входа на сайты Wialon может использоваться только с доверенных DNS, т.е. только с DNS, которые ведут на *.wialon.com (а также на DNS персональных экстра-сайтов). Иными словами, авторизоваться можно только при помощи формы, которая находится на сервере Wialon.
  • В результате авторизации (успешного ввода логина и пароля) на сервере генерируется ключ (токен) и сохраняется в пользователе. По этому токену можно в дальнейшем входить на сайты, использовать в приложениях, а также передавать третьим лицам (если он создан с ограниченными правами).
  • У токена имеются различные свойства: время активации, срок действия, доступные права, название и др. При необходимости можно ограничить срок действия токена и права. По умолчанию срок действия токена составляет 30 дней и права соответствуют правам пользователя.
  • Все созданные токены пользователя можно увидеть, например, в интерфейсе мониторинга: меню пользователя =>Управление приложениями => Авторизованные приложения. Также там выводятся права токенов. Из этого же диалога можно удалить ненужные токены.
  • Просроченные токены удаляются автоматически. Также токены удаляются, если не использовались более 100 дней. В этом случае потребуется снова ввести логин и пароль для получения нового токена.
  • У одного пользователя может одновременно существовать не более 1000 токенов.
  • При входе на сайт по токену учитываются права пользователя и права токена. Т.е. права токена могут только уменьшить права пользователя или же оставить их неизменными.

Для удобства вы можете использовать нашу форму авторизации на своих сайтах и в приложениях. На данный момент существует два варианта формы: расширенная и упрощённая.

Расширенная форма авторизации

Расширенная форма в большей степени предназначена для мобильных и иных приложений. Сверху расположен логотип (берётся из скина клиента), ниже — поля ввода логина и пароля и кнопка авторизации. В расширенной форме также имеется блок с перечислением доступных прав и их описанием. В форму можно передать ряд дополнительных параметров.

Упрощенная форма авторизации

Упрощённая форма предназначена для простого встраивания на сайты (сайты-визитки) через iframe и дальнейшего быстрого перехода на один или несколько своих сайтов мониторинга после авторизации. Сверху расположен логотип (берётся из скина клиента), ниже — поля ввода логина и пароля и кнопка авторизации.

Эта форма призвана заменить самодельные формы авторизации на сайтах партнёров. Её плюсом является небольшой размер, отсутствие каких-либо замысловатых параметров и необходимости после авторизации самостоятельно вызывать запросы по входу на сайт.

Примеры и подробности, касающиеся упрощенной и расширенной форм авторизации, вы можете найти в инструкции.

Если у вас возникнут вопросы, наша техническая поддержка работает 24 часа в сутки 7 дней в неделю и всегда готова помочь решить любые технические проблемы. Уверены, переход на новый механизм авторизации не вызовет у вас трудностей и при этом положительно скажется на безопасности вашего бизнеса.

Хорошего дня!

Ваш комментарий:

Будьте первым, кто оставит комментарий