Для настройки параметров безопасности перейдите на вкладку «Настройки» в подразделе «Безопасность»:
При выполнении аутентификации на сервере мобильной платформы формируется JWT-токен и refresh JWT для пользователя API или администратора. JWT-токен - это объект, который передаётся в запросе при обращении субъекта к API сервера мобильной платформы для его авторизации. Refresh JWT - это объект, необходимый для обновления JWT-токена.
В целях повышения безопасности передачи данных, идентифицирующих субъекта, к JWT-токену применяется цифровая подпись с использованием закрытого ключа шифрования. При необходимости можно изменить закрытый ключ шифрования. Для получения подробной информации обратитесь к разделу «Изменение закрытого ключа шифрования JWT-токена».
Для изменения срока действия JWT-токена для субъектов укажите количество дней и часов напротив параметров «Срок действия JWT токена для пользователей API», «Срок действия JWT токена для администраторов». По умолчанию срок действия JWT-токена 14 дней.
Для изменения срока действия refresh JWT для субъектов укажите количество дней и часов напротив параметра «Срок действия refresh JWT для пользователей API и администраторов». По умолчанию срок действия refresh JWT 45 дней.
Примечание. Срок действия refresh JWT должен превышать срок действия JWT-токена для пользователей API и администраторов. При изменении срока действия JWT-токена или refresh JWT все текущие токены будут недействительны, субъектам необходимо заново выполнить аутентификацию.
Для задания времени жизни сессии при неактивности администратора укажите срок действия в формате <часы : минуты> напротив параметра «Время жизни сессии при неактивности администратора». При попытке совершения действия в консоли администратора по истечении указанного времени администратору необходимо заново выполнить аутентификацию для продолжения работы в консоли администратора. По умолчанию время жизни сессии не задано.
Для задания срока действия всех учётных записей пользователей API укажите количество дней в поле «Срок действия учётной записи пользователя (в днях)». По умолчанию срок действия не задан, учетные записи являются бессрочными.
Для задания срока действия конкретного пользователя API используйте поле «Период действия учётной записи» в параметрах пользователя API. Если для конкретного пользователя API задан срок действия, то заданное время жизни учётной записи пользователя в настройках аутентификации не учитывается.
Для обработки событий неуспешной авторизации пользователей API задайте параметры:
блокировать устройство после указанного числа неудачных попыток входа;
сбрасывать счетчик неудачных попыток входа через указанное количество времени;
блокировать устройство на указанное количество времени;
блокировать пользователя после указанного числа блокировок устройств;
сбрасывать счетчик блокировок устройств через указанное количество времени;
блокировать пользователя на указанное количество времени (в днях).
При превышении заданного количества неудачных попыток входа за определенный интервал времени мобильное устройство блокируется на заданный период. Во время блокировки мобильного устройства недоступны попытки авторизации пользователя API с данного устройства. Если превышается количество блокировок мобильных устройств за определенный интервал времени, то пользователь API блокируется на заданное количество времени. При изменении заданных параметров обработки событий неуспешной авторизации у заблокированных пользователей API пересчитывается время блокировки.
При блокировке пользователя API автоматически устанавливается флажок «Заблокирован по соображениям безопасности» и отображается сообщение «Заблокирован до <дата>» в параметрах конкретного пользователя API. Во время блокировки пользователя API недоступны попытки авторизации, сессия пользователя прерывается на всех мобильных устройствах.
Для разблокировки пользователя API снимите флажок «Заблокирован по соображениям безопасности» или дождитесь окончания заданного количество времени блокировки пользователя.
См. также:
Настройка безопасности системы | Управление паролями