Autentificare

Toate cererile API-ului Geo-Engine sunt autentificate folosind chei API.

Autentificarea cu cheie API

Obținerea cheii API

Contactați managerul de conturi Quarticle sau conectați-vă la panoul dvs. Geo-Engine
Accesați Setări → Chei API
Faceți clic pe Generare cheie nouă
Copiați imediat cheia (nu veți mai putea să o vedeți din nou)

Folosirea cheii API

Includeți cheia API în antetul Authorization al fiecărei cereri:

Cheia API trebuie să rămână pe server

Cheia API este un secret pe partea serverului. Nu o utilizați niciodată în JavaScript pe partea clientului (browser), în aplicații mobile sau în orice cod care este expediat utilizatorilor finali. Oricine poate vedea sursa paginii sau intercepta traficul de rețea și o poate fura.

Dacă aplicația dvs. web trebuie să apeleze Qarta din browser (de exemplu, pentru a încărca dale WMS în Leaflet), direcționați aceste cereri printr-un proxy pe backend care atașează cheia API pe partea serverului:

GeoServer Proxy (Python) — pentru cereri de dale WMS/WFS și caracteristici
Full API Proxy (Python) — pentru toate celelalte puncte finale ale API-ului Qarta

Fără prefixul Bearer

Trimiteti valoarea cheii API direct în antetul Authorization. Nu adăugați un prefix Bearer sau altă formatare.

Authorization: YOUR_API_KEY

cURL
JavaScript
Python

curl -X GET "https://graph.quarticle.ro/graph/api/v1/places/geocode?q=Berlin" \
  -H "Authorization: YOUR_API_KEY"

const response = await fetch(
  'https://graph.quarticle.ro/graph/api/v1/places/geocode?q=Berlin',
  {
    headers: {
      'Authorization': 'YOUR_API_KEY'
    }
  }
);

import requests

response = requests.get(
    'https://graph.quarticle.ro/graph/api/v1/places/geocode',
    params={'q': 'Berlin'},
    headers={'Authorization': 'YOUR_API_KEY'}
)

Cele mai bune practici de securitate

Doar pe backend - Nu includeți cheia API niciodată în JavaScript pe partea clientului, în pachete de aplicații mobile sau HTML. Apelați întotdeauna API-ul de pe serverul dvs
Nu validați niciodată cheile API - Stocați-le în variabile de mediu
Rotunziți regulat - Generați periodic chei noi
Utilizați chei cu domeniu - Restricționați permisiunile cheii la produse/operațiuni specifice
Monitorizați utilizarea - Verificați panoul dvs pentru activitate neobișnuită

Rotația cheilor

Cheile API ar trebui rotite periodic pentru securitate.

Rotirea cheilor

Generați o cheie nouă (mențineți ambele active în timpul tranzițiilor)
Actualizați aplicația pentru a utiliza cheia nouă
Testați temeinic
Revocați cheia veche

Verificarea antetelor de autentificare

Toate cererile trebuie să includă autentificare adecvată. Autentificarea lipsă sau invalidă va returna un răspuns 401 Unauthorized.

Expirarea tokenului

Chei API - Fără expirare (până la revocare)

Variabile de mediu

Stocați-vă acreditările în siguranță folosind variabile de mediu:

# fișier .env (nu validați niciodată!)
QARTA_API_KEY=your_api_key_here

Accesați în cod:

JavaScript
Python

const apiKey = process.env.QARTA_API_KEY;

import os
api_key = os.getenv('QARTA_API_KEY')

Autentificarea cu cheie API​

Obținerea cheii API​

Folosirea cheii API​

Cele mai bune practici de securitate​

Rotația cheilor​

Rotirea cheilor​

Verificarea antetelor de autentificare​

Expirarea tokenului​

Variabile de mediu​