Ограничение доступа

Платформа предоставляет следующие сервисы и механизмы ограничения доступа к данным:

Управление белыми и черными списками IP-адресов

Вы можете формировать «белые» и «черные» списки IP-адресов, на основании которых Платформа будет разрешать или ограничивать доступ к данным для конечных пользователей. IP-адреса хранятся в списках в виде набора префиксов. Платформа производит проверку IP-адреса пользователя в этих списках при каждом пользовательском запросе.

Изменять состав списков и привязывать их к сервисным конфигурациям можно при наличии включенного сервиса Dynamic Access Control через клиентский портал NGENIX Multidesk и с помощью NGENIX API.

Существуют следующие сценарии обработки запроса с учетом проверки IP-адреса в списках:

IP-адрес

в белом списке

IP-адрес

в черном списке

Доступ к данным

Да

Да

Разрешен

Да

Нет

Разрешен

Нет

Да

Запрещен

Нет

Нет

Разрешен

Белый список имеет приоритет над черным списком.

Если доступ с IP-адреса запрещен, то на любые HTTP-запросы с его стороны ему будет возвращен 403 код статуса HTTP.

Обновление состава белого и/или черного списков на серверах доставки происходит в течении 10 секунд. При внесении префикса в белый или черный список вы можете указать «время жизни» правила (Time to live – TTL). Спустя указанное время префикс будет автоматически удален из списка. По умолчанию время жизни префиксов не ограничено (TTL – 0).

При пользовании сервисом DDoS Protection наряду с вашими белыми и черными списками Платформа также формирует свои белые, черные и фильтрационные списки IP-адресов для обеспечения защиты от DDoS-атак уровня приложений. Ваши белые и черные списки имеют приоритет над списками IP-адресов системы защиты от DDoS-атак уровня приложений.

Верификация пользователей с помощью одноразовых ссылок

Вы можете верифицировать каждый запрос пользователя к данным на Платформе, организовав к ним доступ с использованием одноразовым ссылок, сгенерированных по заранее согласованному с NGENIX алгоритму. Одноразовая ссылка содержит токен, в котором заключены уникальные параметры пользовательского запроса (пароль, IP-адрес, время обращения и др.).

В момент обращения пользователя по одноразовой ссылке Платформа расшифровывает токен и блокирует доступ, если запрос пользователя не прошел верификацию. Также доступ к данным будет запрещен, если одноразовая ссылка устарела.

Управление заголовками CORS

CORS (Cross-Origin Resource Sharing) – это механизм, с помощью которого можно предоставить разрешение на доступ к данным вашего веб-ресурса в то время когда пользователь находится на другом веб-ресурсе. Для этого механизм CORS использует специальные HTTP-заголовки, которые проверяются браузером пользователя. Используя механизм CORS вы можете указать список доверенных веб-ресурсов, пользователи которых могут получать данные с вашего веб-ресурса.

Пример. У вас есть видеопоток, доступный на веб-ресурсе https://example.net. У вас есть два бизнес-партнера, с которыми есть договоренность что они могут встроить ваш видеопоток к себе на веб-ресурс: https://partner1.net и https://partner2.net соответственно. С помощью CORS вы можете разрешить доступ к видеопотоку только для пользователей веб-ресурсов https://partner1.net и https://partner2.net, в то время как пользователи других веб-ресурсов не смогут получит доступ к видеопотоку из своих браузеров.

Реализация механизма CORS встроена в браузеры, однако продвинутые пользователи могут отключить этот механизм в своем браузере. Если вы хотите ограничить доступ к данным своего веб-ресурса для пользователей, которые отключили механизм CORS либо которые не пользуются браузером, необходимо использовать другие инструменты контроля доступа.