Пользовательские HTTP-заголовки для аутентификации

3 мин чтения

Некоторые API endpoint требуют аутентификации через Bearer token, API key или HMAC-подпись. Пользовательские заголовки позволяют мониторинг защищённых endpoints.

Настройка

В детале HTTP-монитора → вкладка Расширенные → Пользовательские заголовки:

Authorization: Bearer plz_a1b2c3d4...
X-API-Key: sk_live_abc123
User-Agent: ePulz.io-Monitor/1.0

Один header на строку, формат Name: Value.

Распространённые применения

• Bearer token: Authorization: Bearer <TOKEN>
• Basic auth: Authorization: Basic dXNlcjpwYXNz (base64 из user:pass)
• API Key в custom header: X-API-Key: ...
• Пользовательский User-Agent: идентификация в server-логах (чтобы ваша dev-команда знала, что это не атака)

Рекомендации по безопасности

• Создайте dedicated read-only token - не admin token. Если мониторинг утечёт, не утекут ваши production-данные.
• Ротируйте token раз в 3-6 месяцев, даже если нет подозрений
• Token хранится в БД как plain text (из-за sending при каждом check). Не используйте production master credentials.
• Headers отображаются только админу при редактировании. В логах значение маскируется до первых 6 символов + "…".