امکان فرواخوانی سرویس ها با استفاده از API Key
vpnagency opened this issue · comments
برای فراخوانی سرویس های پنل، باید با استفاده از نام کاربری و کلمه عبور پنل لاگین کرد و توکن به دست آمده را در هدر درخواست قرار داد.
در بسیاری از مواقع نرم افزارهای شخص ثالث به پنل متصل میشوند و از API آن استفاده میکنند. در این حالت باید نام کاربری و کلمه عبور پنل را در اختیار دیگران قرار داد که از نظر امنیتی مشکل زا است.
راه حل:
بهتر است در پنل امکان تولید API Key وجود داشته باشد و مالک پنل API Key را در اختیار بقیه قرار دهد و هر موقع خواست آن را غیرفعال کند.
در حالت ایده عال، برای آن API Key امکان تعریف سطح دسترسی هم وجود داشته باشد.
با این روش، مالک پنل مطمئن خواهد بود که سرویس ثالثی که به پنل متصل میشود، اجازه انجام دادن هر کاری را ندارد.
در حال حاظر بسیاری از ربات های تلگرام شخص ثالث به پنل V2ray متصل میشوند و مهم است که نام کاربری و کلمه عبور را در اختیار نداشته باشند.
تغییر در نحوه کارکرد API میتونه بسیاری از اتصالات کنونی رو با مشکل مواجه کنه.
این مدل تغییرات برای این مدل از کاربران و نرم افزار های ثالث مناسب نیست.