Власні HTTP заголовки для автентифікації

3 хв читання

Деякі API endpoints вимагають автентифікації через Bearer token, API key або HMAC підпис. Власні заголовки дозволяють моніторинг захищених endpoints.

Налаштування

У деталях HTTP монітора → вкладка Розширені → Власні заголовки:

Authorization: Bearer plz_a1b2c3d4...
X-API-Key: sk_live_abc123
User-Agent: ePulz.io-Monitor/1.0

Один header на рядок, формат Name: Value.

Поширені використання

• Bearer token: Authorization: Bearer <TOKEN>
• Basic auth: Authorization: Basic dXNlcjpwYXNz (base64 з user:pass)
• API Key у власному header: X-API-Key: ...
• Власний User-Agent: ідентифікація в server логах (щоб ваша dev команда знала, що це не атака)

Рекомендації щодо безпеки

• Створіть dedicated read-only token - не admin token. Якщо моніторинг витече, не втратите продакшн дані.
• Ротуйте token раз на 3-6 місяців навіть якщо не маєте підозр
• Token у БД зберігається як plain text (через надсилання при кожній перевірці). Не використовуйте production master credentials.
• Headers відображаються лише адміністратору при редагуванні. У логах значення маскується на перші 6 знаків + "…".