Безопасность API в Doka 2.5

Введение

Безопасность API является важным аспектом разработки веб-приложений. В Doka 2.5 используются современные механизмы защиты для предотвращения атак и обеспечения безопасности данных.

Основные угрозы безопасности API

• SQL-инъекции — атаки через некорректные SQL-запросы.
• XSS (Cross-Site Scripting) — внедрение вредоносного JavaScript-кода.
• CSRF (Cross-Site Request Forgery) — подмена запросов от имени пользователя.
• Brute Force-атаки — подбор паролей для входа.
• Незащищенные API-ключи — утечка данных через открытые ключи.

Механизмы защиты

1. Аутентификация через JWT

API Doka 2.5 использует JSON Web Token (JWT) для защиты ресурсов.

POST /api/auth/login

Тело запроса:
{
    "email": "user@example.com",
    "password": "password123"
}

Ответ:
{
    "token": "eyJhbGciOiJIUzI1NiIsInR..."
}
        

2. Ограничение запросов (Rate Limiting)

Чтобы предотвратить DDoS-атаки и переборы паролей, API включает механизм ограничения запросов.

3. CORS (Cross-Origin Resource Sharing)

Включена защита от межсайтовых атак путем настройки разрешенных доменов.

4. Шифрование и HTTPS

Все запросы должны отправляться через HTTPS для защиты от перехвата данных.

5. Защита от SQL-инъекций

Используются подготовленные запросы и ORM для работы с БД.

6. CSRF-токены

Запросы на изменение данных требуют передачи специального CSRF-токена.

Связанные страницы

• API-эндпоинты
• Общий обзор безопасности
• Управление пользователями
• Маршрутизация
• Интеграция с n8n