Назад до блогу

Авторизація інтеграцій: API keys vs OAuth, scopes, ротація і як не “злити” доступ

Як зробити доступ до API безпечним: коли API key достатньо, коли потрібен OAuth, як проєктувати scopes, ротацію ключів, rate limits і аудит інтеграційних доступів.

20 трав. 2026 р.
Обговорити проєктПереглянути кейси

Безпека інтеграцій — це не тільки TLS

Найгірший сценарій — “витік ключа” або надто широкі права. Тому інтеграційна авторизація має бути спроєктована: scopes, ротація, аудит і швидке відкликання.

1) API keys

  • Добре для server-to-server, якщо потрібні прості права.
  • Обов’язково: ротація, TTL, allowlist IP (де можливо), rate limits.

2) OAuth

  • Потрібен, якщо користувач “дає доступ” сторонньому сервісу.
  • refresh tokens, revoke, короткий access token TTL.

3) Scopes

Scopes мають відповідати бізнес‑операціям (read_orders, write_orders), а не “admin”. Least privilege — головний принцип.

4) Аудит

Логуй: clientId, actorId (якщо є), endpoint, requestId, і ключові зміни (write). Це допомагає розслідувати інциденти.

Підсумок

Надійні інтеграції починаються з доступів: правильна модель токенів, scopes, ротація і аудит. Тоді зростання інтеграторів не збільшує ризики.

Релевантні статті

Rate limits і квоти в API: як захистити сервіс і не зламати інтеграції клієнтів

Як вводити rate limits: ліміти на ключ/тенант/ендпоїнт, 429 відповіді, backoff, квоти, SLO, sandbox і як допомогти інтеграторам дебажити проблеми.