Намудҳои Token
HitKey якчанд намуди token истифода мебарад. Фаҳмидани фарқият барои ҳамгиросозии дуруст муҳим аст.
Token-ҳои OAuth2
Инҳо тавассути ҷараёни OAuth2 содир мешаванд ва барои дастрасӣ ба API-и HitKey аз номи корбар истифода мешаванд.
Access Token
| Хосият | Қимат |
|---|---|
| Мӯҳлат | 1 соат |
| Истифода | Сарлавҳаи Authorization: Bearer <token> |
| Нуқтаи ниҳоӣ | /oauth/userinfo |
| Тариқи гирифтан | /oauth/token (мубодилаи code ё refresh) |
Access token-ҳо кӯтоҳмуддатанд. Ҳангоми беэътибор шудани яке, refresh token-ро барои гирифтани нав истифода баред.
Refresh Token
| Хосият | Қимат |
|---|---|
| Равзанаи лағжанда | 30 рӯз (дар ҳар истифода аз нав танзим мешавад) |
| Ҳадди мутлақ | 90 рӯз (ҳадди максималии мӯҳлат) |
| Истифода | POST /oauth/token бо grant_type=refresh_token |
| Ротатсия | Не — ҳамон refresh token эътибор мемонад |
INFO
Refresh token-ҳои OAuth ротатсия намешаванд — ҳамон refresh token-ро то мӯҳлаташ гузашта метавонед истифода баред. Танҳо access token навсозӣ мешавад.
Ин аз навсозии token-и Bearer-и API (POST /auth/token/refresh) фарқ мекунад, ки refresh token-ро ротатсия мекунад.
Authorization Code
| Хосият | Қимат |
|---|---|
| Мӯҳлат | 10 дақиқа |
| Истифода | Яквақта, ба access + refresh token иваз мешавад |
| Ҷараён | Тавассути redirect пас аз авторизатсияи корбар гирифта мешавад |
Token-ҳои Bearer-и API
Инҳо token-ҳои дохилии тасдиқи ҳувияти HitKey ҳастанд, ки барои дастрасии мустақими API (на OAuth2) истифода мешаванд.
| Хосият | Қимат |
|---|---|
| Тавассути | POST /auth/login содир мешавад |
| Префикс | hitkey_ |
| Истифода | Сарлавҳаи Authorization: Bearer <token> |
| Нуқтаҳои ниҳоӣ | Ҳамаи /auth/*, /projects/*, /oauth/clients |
| Навсозӣ | POST /auth/token/refresh — refresh token-ро ротатсия мекунад |
Кадомашро кай истифода бурдан
- Token-ҳои OAuth2 — вақте ки барномаи шумо аз номи корбар ба HitKey дастрасӣ мегирад (ҳамгиросозии стандартии шарик)
- Token-ҳои Bearer-и API — вақте ки корбар мустақиман бо HitKey кор мекунад (панели HitKey инҳоро истифода мебарад)
Ҳамчун барномасози шарик, шумо асосан бо token-ҳои OAuth2 кор мекунед.
Тавсияҳо барои нигоҳдории Token
| Token | Куҷо нигоҳ доштан | Эзоҳ |
|---|---|---|
| Access token | Хотира ё нигоҳдории бехатар | Кӯтоҳмуддат, аз нав гирифтан мумкин |
| Refresh token | Нигоҳдории бехатари серверӣ | Ҳеҷ гоҳ ба frontend ошкор накунед |
| Client secret | Тағйирёбандаи муҳит | Ҳеҷ гоҳ дар код ё frontend нест |
Амнияти Token
- Authorization code-ҳо пеш аз нигоҳдорӣ хеш (SHA-256) мешаванд — API танҳо хешро нигоҳ медорад
- Access ва refresh token-ҳо низ ҳамчун хеш нигоҳ дошта мешаванд
- Token-ҳои матнӣ танҳо як маротиба ҳангоми эҷод баргардонида мешаванд
- Мубодилаи token ҳам
client_idва ҳамclient_secret-ро талаб мекунад