Для чего используется
Базовый механизм обеспечения безопасности в продукте Login основывается на использовании токенов доступа. При каждой регистрации или аутентификации пользователя сервер Xsolla Login выпускает токен доступа, а именно JSON веб-токен (JWT). JWT содержит информацию о пользователе, например его ID. Данный токен предоставляется в качестве пропуска, который предъявляется при любых обращениях пользователя к вашим ресурсам.
Получая JWT, ваше приложение должно удостовериться, что его выпустил именно сервер Xsolla Login. Для этой цели в токен включается зашифрованная цифровая подпись, которая генерируется с использованием секретного ключа. Использование подписи позволяет удостовериться в подлинности отправителя JWT и гарантирует, что содержимое токена не было изменено при пересылке. Время, в течение которого токен действителен, ограничено, по умолчанию — 24 часа.
Секретный ключ для подписания токенов генерируется автоматически, когда вы создаете свой проект авторизации. Продукт Login поддерживает два алгоритма шифрования для подписания JWT. По умолчанию используется алгоритм HS256. Вы можете выбрать другой алгоритм шифрования — RS256, переустановить секретный ключ, а также изменить время, в течение которого токен действителен, если необходимо (см. раздел Подпись JWT).
Чтобы повысить уровень защиты конфиденциальных данных ваших пользователей, подключите дополнительные функции безопасности к проекту авторизации. Продукт Login предоставляет следующие возможности:
- Подключение протокола OAuth 2.0. OAuth 2.0 — это протокол авторизации, который позволяет получать короткоживущие токены доступа к приложению, а потом обновлять их без участия пользователя.
- Настройка сквозной аутентификации. Сквозная аутентификация позволяет пользователю безопасно авторизоваться сразу в нескольких связанных сервисах, один раз указав свои данные аутентификации при входе в вашу игру.
- Использование многофакторной аутентификации. Многофакторная проверка подлинности (MFA) — это метод аутентификации пользователя, который требует более одного типа проверки. MFA позволяет предотвратить доступ злоумышленников к учетной записи, даже если они украли имя и пароль пользователя.
Просмотр и изменение настроек безопасности для вашего варианта авторизации доступны на его странице в блоке Безопасность.
Нашли опечатку или ошибку в тексте? Выделите ее и нажмите Ctrl+Enter.