🔐 Авторизация и аутентификация в REST API: что, зачем и как 🔐

▫️ Аутентификация (Authentication) — подтверждение, что это действительно тот клиент / пользователь, за кого он себя выдаёт.

Проверяется при входе в систему, когда пользователь предоставляет ключи доступа:
+ логин+пароль
+ токен

Если аутентификация не пройдена, то API должен вернуть ошибку HTTP-401.



▫️ Авторизация (Authorization) — проверка прав аутентифицированного клиента: что ему можно, а что нет.

При выполнении очередного действия в системе, например - удаление мероприятия в календаре, надо проверить, что у него есть права на это (он его создал, оно в его календаре).

Если нет прав, то API должен вернуть ошибку HTTP-403.




▫️ Основные схемы аутентификации

🔑 API-ключи
• Простая пара «ключ=значение» в заголовке X-API-Key.
• Быстро настраивается, но статичен и часто уязвим (нет ротации, нет TTL).

Пример Header:

X-API-Key: 123e4567-e89b-12d3-a456-426614174000

🔒 HTTP Basic Auth
• Передаёт логин/пароль закодированным в Base64 в заголовке Authorization: Basic <credentials>.
• Использовать только по HTTPS.

Пример Header:

Authorization: Basic bXlVc2VyOm15UGFzc3dvcmQ=

🚀 JWT (JSON Web Token)
• Короткоживущий токен с подписанным payload’ом (claims).
• Передача в заголовке Authorization: Bearer <token>.
• Удобен для распределённых систем: нет обращений к БД при каждом запросе.


🌐 OAuth 2.0
• Полноценный фреймворк (стандарт) для выдачи и обновления токенов: Access + Refresh Token.
• Подходит для публичных API и сторонних интеграций.
• Поддерживает разные гранты (Client Credentials, Authorization Code и другие).




▫️ В описании API-метода обязательно указать:
+ какую схему аутентификации поддерживаем
+ формат токена (JWT, UUID и т.д.)
+ куда передавать (заголовок, query-параметр, cookie)
+ список возможных ошибок и их тело (JSON-ответ)

Нужно глубже погрузиться в тему аутентификации

и авторизации в API?

🎧 Подкаст и статья тут 🙂


#RestApiGA

Привет! Сегодня расскажу про свою учёбу по AI в Harvard 🎓

Начну с того, что это не только про «узнать что-то новое». Многое уже давно знакомо.

Но даже те знания, которые у меня уже были, раскрываются с совершенно другой стороны 🤩

Что особенно цепляет:
— новые реальные примеры использования AI,
— обсуждение, какие IT-продукты выживут, а какие уже «в зоне риска»,
— куда всё идёт и как готовиться.


👉 Важные моменты, которыми хочу поделиться:


📌 Инсайт 1:

Когда появились браузеры и интернет — доступ к информации стал дешевле.

Выиграли те, кто это понял раньше всех: Google, Amazon, Netflix, Яндекс, и т.д.

Теперь та же история, только с когнитивными способностями:

AI делает доступ к мышлению дешевле.

Простые задачи он уже берёт на себя. И это только начало.
ChatGPT и подобные продукты — аналог браузера.
А что дальше?

Пока мы только на пороге зарождения AI-компаний, и настоящих передовых AI-продуктов пока нет.


📌 Инсайт 2:

Те, кто умеют использовать ИИ — будут на шаг впереди.

Не потому что «AI всех заменит», а потому что с ним можно делать больше, быстрее и точнее. Он повышает продуктивность.
На это уже смотрят при найме в ведущих IT-компаниях.


📌 Инсайт 3:

Был отдельный раздел про галлюцинации AI.
Важная мысль:

ChatGPT — не поисковик.

Он создан не для «найти ответ», а для «придумать что-то новое».
Это Generative AI (генеративный икусственный интеллект). От слова генерировать = создавать. Но не искать 😅

Жалобы «какую-то ерунду ответил, опять не то, опять придумал» — это просто недопонимание того, как работает генеративный AI.

Он не ищет, он генерирует.
Поэтому и ответы у нас с вами разные.

Тем не менее.... 😄
Это самый популярный Use Case. И под поиск ChatGPT добавил отдельный режим. Если пользуетесь им как поисковиком - включать его.



👉 Я работаю над проектом по внедрению AI в образование.

Учёба идёт интенсивно, времени уходит много — но это именно тот путь, который мне интересен.

Каждый день ощущаю, что становлюсь сильнее как специалист (= лучшей версией себя).

Радуюсь новым шагам 🙌

🟠🤖 Только до завтра: доступ к бесплатной практике по REST API + Postman + AI 🤖🟠

Тема:
Как избежать ошибок в REST API:
от практики в Postman до помощи AI-ассистента

Доступ:
до 5 августа 23:59 Мск [вт]

Время на обучение:
4 часа

👉 Подробности и регистрация


Ваша обратная связь👇

«Очень полезная информация, много подчеркнул и взял на заметку, спасибо огромное!»
— Артём

«Интересно, полезно, на практике всё намного быстрее доходит. Спасибо за такой полезный урок!»
— Полина

«Всё кратко изложено по теме и разложено по полочкам»
— Андрей


👇
Этот урок — первый шаг к практической программе «Дизайн REST API» для аналитиков, где вы:

— научитесь проектировать методы,
— разберётесь в нюансах передачи данных и обработки ошибок,
— закрепите знания на практике,
— получите опыт работы в Postman и Swagger (OpenAPI),
— научитесь использовать ChatGPT как помощника в проектировании API.

💡 Первое онлайн-занятие состоится в следующий вторник!

До 5 августа действует специальная цена, а также:
+3 месяца доступа в подарок
+3 онлайн-встречи по второму проекту

Успейте присоединиться, пока открыта регистрация!

👉 Узнать о программе REST API

📌 84 термина по Архитектуре, которые важно знать Системному Аналитику 📌

◻️ Общие архитектурные понятия
1. Архитектура системы
2. Компонент
3. Модуль
4. Подсистема
5. Сервис
6. Backend
7. Frontend
8. Web-приложение
9. Сайт
10. Desktop-приложение
11. Мобильное приложение
12. Виджет

🧱 Архитектурные стили и подходы
13. Монолитная архитектура
14. Модульный монолит
15. Сервис-ориентированная архитектура (SOA)
16. Микросервисы (MSA)
17. Событийно-ориентированная архитектура (EDA)
18. Слоистая архитектура
19. API Gateway
20. Хореография
21. Оркестрация
22. Service Registry and Discovery
23. Backend for Frontend (BFF)
24. Database-per-Service (БД на сервис)
25. CQRS (Command Query Responsibility Segregation)
26. Domain-Driven Design (DDD)
27. Event Storming
28. Чистая архитектура

🔗 Интеграция и взаимодействие компонентов
29. API (Application Programming Interface)
30. REST API
31. GraphQL
32. gRPC
33. SOAP
34. WebSocket
35. Синхронное взаимодействие
36. Асинхронное взаимодействие
37. Webhooks
38. Polling
39. Long Polling
40. Message Broker (Брокер сообщений)
41. Kafka
42. RabbitMQ
43. ESB (Enterprise Service Bus)

💾 Хранение данных
44. База данных (БД)
45. СУБД
46. Реляционные БД (PostgreSQL, SQLite, MySQL, Oracle и др.)
47. NoSQL БД (MongoDB, Redis и др.)
48. Файловое хранилище
49. Шардирование
50. Репликация
51. Кэширование

🔐 Безопасность
52. Authentication (Аутентификация)
53. Authorization (Авторизация)
54. SSO (Single Sign-On)
55. OAuth 2.0
56. JWT
57. Token
58. Bearer Token
59. Basic Authentication
60. Keycloak
61. TLS
62. HTTPS
63. WWS
64. Аудит

🖼 Нефункциональные требования (НФТ)
65. Масштабируемость
66. Доступность
67. Отказоустойчивость
68. Производительность
69. Сопровождаемость
70. Безопасность

⚙️ DevOps и инфраструктура
71. CI/CD (Continuous Integration / Continuous Delivery)
72. Балансировщик нагрузки (Load Balancer)
73. Docker
74. Kubernetes
75. Service Mesh
76. Мониторинг (Prometheus, Grafana, Zabbix и др.)
77. Логирование (ELK с Kibana, Loki + Grafana и др.)
78. Дашборды
79. Tracing
80. Health Check

📐 Проектирование и документация
81. UML Sequence Diagram
82. UML Activity Diagram
83. C4 Model (Context, Container, Component, Code)
84. Archimate
85. ERD (Entity-Relationship Diagram)
86. Нефункциональные требования (НФТ)
87. Архитектурные решения


📍 Сохрани себе — пригодится при знакомстве с архитектурой, микросервисами, API и подготовке к собеседованиям 😎


P.S. Есть что добавить? Пиши в комментарии!

#АрхитектураGA

✅ Компоненты архитектуры: шпаргалка для системных аналитиков и архитекторов ✅

Компонент — логически и технологически изолированный модуль архитектуры, реализующий строго определённые функции.

👉 обладает собственной кодовой базой и конфигурацией,
👉 разворачивается и масштабируется автономно,
👉 с другими модулями взаимодействует через формализованные интерфейсы.

При построении архитектурной схемы системный аналитик / архитектор должен зафиксировать все компоненты, их зоны ответственности и показать способы взаимодействия — используемые протоколы, API или SDK.

Frontend-компоненты:

🖥 Сайты — информационные веб-страницы, без функций управления данными, только чтение. Дополнительно могут работать с заявками, управлением контентом (CMS), минималистичными ЛК пользователей и приемом платежей.

📱 Мобильные приложения — нативные (iOS, Android) или кросс‑платформенные (Flutter/React Native) клиенты с доступом к датчикам и оборудованию устройства, офлайн‑кэшем и пуш‑уведомлениями.

🖥 Веб-приложения — одно‑ или многостраничные приложения, работающие в браузере. Могут устанавливаться на сервера как независимо от Backend, так и включать в себя Backend (монолиты).

💻 Десктоп-приложения — устанавливаемые на компьютер программы, которые получают доступ к файловой системе, драйверам, оборудованию, и могут работать оффлайн. Например, редакторы фотографий, приложения банкоматов, кассы.

🔗 Виджеты — встраиваемые мини‑приложения (JS/iframe‑компоненты), добавляющие отдельную функцию в чужой интерфейс, без изменения кода и полного перезапуска той системы, куда они встраиваются.

Backend-компоненты:

🔹 Монолит — единое backend-приложение, где все логические модули системы организованы в одной общей кодовой базе. Деплоится и масштабируется только целиком, нельзя обновить только отдельный модуль внутри монолита. Обычно имеет только одну БД со всеми данными в ней.

🔹 Сервисы — логически выделенный компонент системы, отдельное backend-приложение средних размеров с ограниченным набором бизнес-логики. Деплоится и масштабируется независимо от остальных сервисов. Может иметь свою БД или использовать общую с другими сервисами.

🔹 Микросервисы — небольшой автономный сервис, владеющий узким бизнес‑контекстом, меньшим, чем у обычных сервисов, и (часто) со своей БД. Деплоится и масштабируется независимо от остальных сервисов.

🔹 API Gateway — единая точка входа в Backend-приложение с архитектурой из сервисов или микросервисов. Отвечает за маршрутизацию запросов в нужные сервисы, может выполнять функции аутентификации и авторизации, проверять лимиты по запросам от клиентов, выполнять агрегацию и трансформацию ответов, кэшировать данные и собирать метрики для мониторинга.

🔹 Базы данных (БД) — отвечают за хранение текстовых данных в определенной структуре: реляционные (PostgreSQL, Oracle и другие), NoSQL, time‑series.

🔹 Файловое хранилище (ФХ) — компонент, отвечающий за долговременное хранение документов, фото, медиа и других файлов системы.

🔹 Брокеры сообщений — асинхронный обмен сообщениями (Kafka, RabbitMQ и другие).

🔹 Шина данных, ESB (Enterprise Service Bus) — интеграционная шина уровня предприятия, которая объединяет разнородные приложения через единый коммуникационный слой и «умную» посредническую логику. Типична для SOA архитектуры.

🩶 Внешние системы — платёжные системы, CRM, ЭДО и другие системы, с которыми нужна интеграция.

Hardware-компоненты:

🎥 Камеры
🖨 Принтеры, чековые терминалы
💳 Считыватели банковских карт
🎙 Микрофоны
📦 RFID/Barcode‑сканеры
🌡 IoT‑датчики (температура, влажность, движение).
и другие.



Используйте этот перечень как чек‑лист.

Он гарантирует, что в архитектурном описании не останется «слепых зон».
Каждый компонент должен быть явно показан на схеме — например, в нотации C4.

#АрхитектураGA