Własne nagłówki HTTP do uwierzytelniania

3 min czytania

Niektóre endpointy API wymagają uwierzytelniania przez Bearer token, API key lub podpis HMAC. Własne nagłówki umożliwiają monitorowanie chronionych endpointów.

Ustawienie

W szczegółach monitora HTTP → zakładka Zaawansowane → Własne nagłówki:

Authorization: Bearer plz_a1b2c3d4...
X-API-Key: sk_live_abc123
User-Agent: ePulz.io-Monitor/1.0

Jeden nagłówek per linia, format Name: Value.

Typowe zastosowania

• Bearer token: Authorization: Bearer <TOKEN>
• Basic auth: Authorization: Basic dXNlcjpwYXNz (base64 z user:pass)
• API Key w niestandardowym nagłówku: X-API-Key: ...
• Własny User-Agent: identyfikacja w logach serwera (aby Twój zespół dev wiedział, że to nie jest atak)

Zalecenia bezpieczeństwa

• Utwórz dedykowany token read-only - nie admin token. Jeśli monitoring wycieknie, nie ucieknie Ci dane produkcyjne.
• Rotuj token raz na 3-6 miesięcy, nawet jeśli nie masz podejrzeń
• Token w DB przechowywany jest jako plain text (z powodu wysyłania przy każdym checku). Nie używaj production master credentials.
• Nagłówki wyświetlają się wyłącznie adminowi przy edycji. W logach wartość maskowana jest na pierwszych 6 znakach + "…".