Внедрение безопасности является неотъемлемой частью интеграции с Jira Server. Он позволяет приложениям Atlassian защищать данные клиентов от несанкционированного доступа и от вредоносных или случайных изменений. Он также позволяет администраторам уверенно устанавливать приложения, позволяя пользователям безопасно пользоваться преимуществами приложений.
Для защиты вашего приложения Jira или интеграции есть две части: аутентификация и авторизация. Аутентификация сообщает Jira Server личность вашего приложения или интеграции, авторизация определяет, какие действия он может предпринять в Jira.
Аутентификация
Аутентификация - это процесс идентификации вашего приложения или интеграции с Atlassian-приложением и является основой для всей другой безопасности. Платформа Jira, Jira Software и Jira Service Desk REST API могут использовать один из следующих двух методов для аутентификации клиентов напрямую.
Аутентификация OAuth (1.0a) |
OAuth - это метод аутентификации на основе токенов, который использует токены запросов, созданные из Jira Cloud для аутентификации клиента. Мы рекомендуем использовать OAuth в большинстве случаев. Требуется больше усилий для реализации, но он более гибкий и безопасный по сравнению с двумя другими методами проверки подлинности. Прочтите учебник OAuth. |
Базовая аутентификация |
Базовая аутентификация использует предопределенный набор учетных данных пользователя для аутентификации клиента. Мы не рекомендуем использовать базовую аутентификацию, за исключением инструментов, таких как личные скрипты или боты. Это может быть проще реализовать, но гораздо менее безопасно. Прочтите руководство по базовой проверке подлинности. |
Проверка подлинности на основе файлов cookie |
Рекомендуется использовать аутентификацию OAuth или Basic для вызовов API, однако, если вы хотите воспроизвести поведение, когда пользователь входит в Jira, вы можете использовать аутентификацию на основе файлов cookie. Прочитайте руководство по аутентификации на основе файлов cookie. |
Заметка:
- В браузере Jira использует аутентификацию на основе файлов cookie, поэтому вы можете вызывать REST из браузера (например, через JavaScript) и полагаться на аутентификацию, установленную браузером.
- Имейте в виду, что вы не можете использовать Jira REST API для аутентификации с сайтом Jira, как только запущена CAPTCHA от Jira в момент входа в систему. Проверьте ответ, чтобы подтвердить это: если заголовок X-Seraph-LoginReason имеет значение AUTHENTICATION_DENIED, это означает, что приложение отклонило логин, даже не проверяя пароль, что обычно означает, что CAPTCHA был запущена.
Обработка токенов форм
Обработка токена формы является необязательным дополнительным механизмом аутентификации, который позволяет Jira проверять происхождение и намерение запросов. Это используется для обеспечения другого уровня безопасности для XSRF. Для получения дополнительной информации см. Обработка форматов токенов.
Авторизация
Авторизация - это процесс, позволяющий вашему приложению или интеграции совершать определенные действия в приложении Atlassian после его аутентификации. Авторизация для прямых вызовов API JRE Cloud REST основана на пользователе, используемом в процессе аутентификации.
Аутентификация OAuth (1.0a) |
Пользователь, который разрешает токен запроса, в процессе аутентификации для клиента, используется для запросов в облаке Jira. |
Базовая аутентификация |
Действия, которые может выполнить ваш клиент, основаны на разрешениях учетных данных пользователя, которые вы используете. Например, если вы используете базовую аутентификацию, ваш пользователь должен иметь разрешение «Редактировать задачу» на задачу, чтобы сделать запрос PUT ресурсу /issue. |
По материалам Atlassian JIRA Server Developer Security overview