Перейти к основному содержимому

Аутентификация в браузерном демо

Используйте браузерный демо-режим, когда хотите, чтобы интерфейс документации FastNear отправлял аутентифицированные запросы от вашего имени, пока вы изучаете API.

Когда это подходит

  • Личное исследование документации.
  • Локальная разработка, когда вы проверяете форму запросов.
  • Короткие демо в собственной браузерной сессии.

Когда это не подходит

  • Продакшен-веб-приложения.
  • Общие киоски и общие браузеры.
  • Агентные рантаймы, которые могут просматривать другие пользователи.
  • Любой сценарий, где браузер не должен иметь прямой доступ к учётным данным.

Как работает поток в документации

  • Интерфейс документации может читать ?apiKey= из URL для мгновенного переопределения.
  • Встроенный браузерный менеджер также может хранить ключ в localStorage, чтобы было удобнее исследовать документацию.
  • Поддерживаемые страницы документации FastNear добавляют API-ключ при отправке запросов к эндпоинтам FastNear.

Рекомендации по безопасности

  • Считайте, что любой ключ, сохранённый в браузере, может получить человек, контролирующий этот браузер.
  • Не рассматривайте браузерное хранилище как безопасное хранилище секретов для продакшена.
  • Удаляйте сохранённые ключи после демо на машинах, которые не полностью под вашим контролем.
  • Переходите к серверному варианту, как только трафик выходит за пределы вашего ноутбука.

Практический чеклист для демо

  1. Используйте личный ключ, а не общий командный.
  2. Ограничьте ключ исследованием документации и низкорисковым тестовым трафиком.
  3. Удаляйте сохранённый ключ после сессии, если машина не предназначена только для вас.
  4. Перенесите любой настоящий прикладной или агентный трафик на сервер до запуска.

Устранение неполадок

Страница документации всё ещё работает как неаутентифицированная

  • Убедитесь, что это поверхность FastNear, поддерживающая передачу API-ключа.
  • Обновите страницу после сохранения ключа.
  • Проверьте, нет ли в URL переопределяющего значения ?apiKey=.

Я не хочу хранить ключ в браузере

Используйте краткоживущий ?apiKey= в URL только на время сессии или полностью откажитесь от браузерного режима и перейдите к серверному варианту.

Моему агенту нужен этот ключ

Не давайте агенту ключ, которым управляет браузер. Вместо этого используйте схему серверной аутентификации.