секреты интеграции

Секреты интеграции - это чувствительные данные, дающие доступ к API (токены, ключи, служебные credential).

Простыми словами: это "ключи от API", которые нельзя хранить и передавать как обычный текст.

Базовые правила:

1. Хранение

• Хранить токены только в защищенных secret-хранилищах или переменных окружения.
• Не коммитить токены в репозиторий и не оставлять в примерах документации.

1. Передача

• Передавать токен только в заголовке авторизации.
• Не передавать секреты через URL/query-параметры.

1. Жизненный цикл

• Контролировать срок жизни токенов и ротацию.
• Иметь процедуру быстрой замены при подозрении на компрометацию.

1. Разграничение доступа

• Использовать минимально необходимые права (least privilege).
• Разделять токены для разных сред (dev/stage/prod).

На примере Метрики:

• OAuth-токен для Authorization: OAuth <token> должен храниться вне кода;
• при утечке токена возможен несанкционированный доступ к данным счетчиков и отчетам;
• безопасная практика - отдельные токены по средам и регулярная ревизия прав.

Практический вывод:

• Ошибка в работе с секретами опаснее большинства технических багов интеграции.
• В Метрике безопасность токена равна безопасности аналитических данных проекта.