Zaawansowane Funkcje Bezpieczeństwa

Dostępne w:

Post Affiliate Pro , Post Affiliate Pro Ultimate , Post Affiliate Network

Post Affiliate Pro zapewnia funkcje bezpieczeństwa klasy enterprise zaprojektowane w celu ochrony Twojego programu partnerskiego przed nieautoryzowanym dostępem, nadużyciami i oszustwami. Ten przewodnik omawia zaawansowane mechanizmy bezpieczeństwa wbudowane w platformę.

Metody Uwierzytelniania API

API v3 Post Affiliate Pro wykorzystuje nowoczesne standardy uwierzytelniania, aby zapewnić bezpieczny dostęp do danych i operacji Twojego programu partnerskiego.

Uwierzytelnianie Kluczem API

Klucze API zapewniają bezpieczną metodę komunikacji serwer-serwer. Każdy klucz API w Post Affiliate Pro zawiera:

• ID Tokena i Hash: Klucze API używają bezpiecznego formatu tokena z unikalnym identyfikatorem i kryptograficznie zahashowanym sekretem. Tekstowa forma tokena nigdy nie jest przechowywana w bazie danych.
• Data Wygaśnięcia: Możesz ustawić datę wygaśnięcia dla kluczy API, aby zapewnić regularną rotację.
• Dostęp Oparty na Rolach: Każdy klucz dziedziczy uprawnienia z powiązanej roli użytkownika.
• Ograniczenia Zakresu: Definiuj określone zakresy, aby ograniczyć, jakie operacje może wykonywać klucz API.
• Biała Lista IP: Ogranicz użycie klucza API do określonych adresów IP lub zakresów CIDR.
• Śledzenie Użycia: System śledzi, kiedy każdy klucz był ostatnio używany i ile razy był dostępny.

Aby uwierzytelnić się za pomocą klucza API, dołącz go jako token Bearer w nagłówku Authorization:

Authorization: Bearer pap_XXXXXXXXXX_YYYYYYYYYYYYYYYYYYYYYYYYYYYY

Uwierzytelnianie OAuth 2.0

Dla integracji z zewnętrznymi systemami i tymczasowego dostępu Post Affiliate Pro obsługuje tokeny Bearer OAuth 2.0 z walidacją zakresów. Mechanizm uwierzytelniania OAuth:

• Waliduje tokeny Bearer względem bazy danych kluczy API
• Weryfikuje, czy token ma wszystkie wymagane zakresy dla żądanej operacji
• Zwraca jasne komunikaty błędów dla niewystarczających uprawnień (HTTP 403)
• Integruje się bezproblemowo z systemem ograniczania szybkości

Uprawnienia oparte na zakresach pozwalają na precyzyjną kontrolę nad tym, do czego każdy token może uzyskać dostęp, zapewniając, że integracje zewnętrzne mają dostęp tylko do potrzebnych danych.

Ograniczanie Szybkości

Post Affiliate Pro implementuje inteligentne ograniczanie szybkości, aby chronić Twój program partnerski przed nadużyciami, atakami typu denial-of-service i niekontrolowanymi skryptami automatyzacji.

Globalne Limity API

API v3 wymusza następujące limity szybkości:

• 100 żądań na minutę dla wszystkich endpointów API
• 10 nieudanych prób uwierzytelnienia na minutę na adres IP dla uwierzytelniania tokenem Bearer

Po przekroczeniu limitu szybkości API zwraca:

• Kod statusu HTTP 429 (Zbyt Wiele Żądań)
• Nagłówek Retry-After wskazujący, kiedy można ponowić próbę
• Nagłówek X-RateLimit-Limit pokazujący maksymalną liczbę dozwolonych żądań
• Nagłówek X-RateLimit-Remaining pokazujący pozostałe żądania w bieżącym oknie
• Nagłówek X-RateLimit-Reset pokazujący, kiedy limit szybkości zostanie zresetowany

Algorytm Token Bucket

Ograniczanie szybkości wykorzystuje algorytm token bucket, który zapewnia:

• Konfigurowalne okna czasowe (sekunda, minuta, godzina, dzień, tydzień, miesiąc)
• Stopniowe uzupełnianie dostępnych żądań w czasie
• Ochronę przed ciągłymi nadużyciami i atakami burstowymi
• Oddzielne kubełki dla różnych typów operacji (uwierzytelnianie, resetowanie hasła, rejestracje itp.)

Ograniczanie Szybkości Uwierzytelniania

Nieudane próby uwierzytelnienia są śledzone oddzielnie, aby zapobiegać atakom brute-force:

• Nieudane uwierzytelnienia tokenem Bearer zużywają tokeny z kubełka specyficznego dla IP
• Po 10 nieudanych próbach w ciągu minuty dalsze próby uwierzytelnienia są blokowane
• Udane uwierzytelnienie resetuje licznik niepowodzeń dla tego IP
• Status limitu szybkości jest logowany do monitorowania bezpieczeństwa

Bezpieczeństwo Sesji

Post Affiliate Pro implementuje solidne zarządzanie sesjami, aby chronić konta użytkowników.

Funkcje Zarządzania Sesjami

• Bezpieczne ID Sesji: Sesje używają 32-znakowych kryptograficznie bezpiecznych identyfikatorów
• Walidacja Sesji: Każde żądanie waliduje stan sesji i powiązany moduł
• Wygaśnięcie Sesji: Wygasłe sesje są automatycznie wykrywane i obsługiwane
• Przechowywanie Sesji: Sesje mogą być przechowywane w bazie danych lub Redis dla środowisk wysokiej wydajności
• Kontrola Wielu Sesji: Użytkownicy mogą mieć zakończone inne sesje, gdy nastąpią zmiany wrażliwe pod względem bezpieczeństwa

Zakończenie Sesji przy Zdarzeniach Bezpieczeństwa

Gdy wystąpią krytyczne zdarzenia bezpieczeństwa, Post Affiliate Pro automatycznie kończy powiązane sesje:

• Włączenie uwierzytelniania dwuskładnikowego unieważnia wszystkie inne aktywne sesje
• Zmiany hasła mogą wywołać unieważnienie sesji
• Usunięcie klucza API kończy powiązane sesje
• Zmiany statusu konta wywołują czyszczenie sesji

Ochrona Logowania

Post Affiliate Pro zapewnia kompleksową ochronę logowania z konfigurowalnymi ustawieniami zarówno dla paneli sprzedawcy, jak i partnera.

Ograniczenia Oparte na IP

Zablokowane Adresy IP: Blokuj próby logowania z określonych adresów IP lub zakresów. System:

• Waliduje adresy IP względem listy zablokowanych przed przetworzeniem logowania
• Zapobiega przypadkowemu zablokowaniu własnego bieżącego adresu IP
• Obsługuje oddzielne listy zablokowanych dla paneli sprzedawcy i partnera

Dozwolone Adresy IP: Ogranicz dostęp do logowania do białej listy zatwierdzonych adresów IP:

• Tylko użytkownicy łączący się z adresów IP na białej liście mogą się zalogować
• Obsługuje zarówno pojedyncze adresy IP, jak i zakresy IP
• Chroni przed zablokowaniem się poprzez walidację bieżącego IP przed zapisaniem

Ograniczanie Szybkości dla Logowań

Próby logowania są ograniczane, aby zapobiegać atakom brute-force:

• Ograniczanie na IP: Limituje liczbę prób logowania z pojedynczego adresu IP na godzinę
• Ograniczanie na Nazwę Użytkownika: Limituje próby względem określonej nazwy użytkownika, aby zapobiegać ukierunkowanym atakom
• Konfigurowalne limity dla paneli sprzedawcy i partnera
• Nieudane próby są śledzone za pomocą systemu token bucket

Usługa Klucza Logowania

Dla bezpiecznego jednokrotnego logowania i funkcjonalności “Zaloguj jako” Post Affiliate Pro używa tymczasowych kluczy logowania:

• Klucze logowania są ważne tylko przez 30 sekund
• Każdy klucz może być użyty tylko raz (zużywany przy użyciu)
• Klucze są generowane kryptograficznie przy użyciu bezpiecznych funkcji losowych
• Sprawdzenia uprawnień zapewniają, że tylko autoryzowani użytkownicy mogą generować klucze logowania dla innych kont

Ochrona przed Oszustwami Sprzedażowymi

Post Affiliate Pro zawiera dedykowany plugin Ochrony przed Oszustwami Śledzenia Sprzedaży, który wykorzystuje sumy kontrolne MD5 do weryfikacji autentyczności transakcji.

Jak To Działa

1. Gdy sprzedaż jest śledzona, system oblicza sumę kontrolną MD5 używając całkowitego kosztu, ID zamówienia i tajnego klucza
2. Ta suma kontrolna musi być dołączona do żądania śledzenia sprzedaży
3. System ponownie oblicza sumę kontrolną i porównuje ją z przesłaną wartością
4. Jeśli sumy kontrolne nie są zgodne, transakcja jest odrzucana

Opcje Konfiguracji

• Globalny Tajny Klucz: Ustaw domyślny tajny klucz dla wszystkich kampanii
• Klucze Specyficzne dla Kampanii: Nadpisz globalny klucz unikalnymi kluczami dla każdej kampanii dla dodatkowego bezpieczeństwa
• Parametr Sumy Kontrolnej: Wybierz, które pole danych niesie sumę kontrolną (data1 do data5)

Ta ochrona zapewnia, że tylko legalne sprzedaże z Twojej strony są śledzone, zapobiegając oszukańczym zgłoszeniom transakcji ze źródeł zewnętrznych.

Ochrona przed Oszustwami Kliknięć

Post Affiliate Pro monitoruje wszystkie kliknięcia i może automatycznie odrzucać lub odrzucać oszukańcze.

Metody Wykrywania

Wykrywanie Duplikatów Kliknięć: Identyfikuje kliknięcia z tego samego adresu IP w konfigurowalnym okresie czasowym:

• Ustaw okno czasowe w sekundach
• Opcjonalnie wymagaj tego samego user agenta dla wykrywania duplikatów
• Opcjonalnie wymagaj tego samego banera lub kampanii dla ściślejszego wykrywania
• Wybierz odrzucenie (oznacz jako oszukańcze) lub nie zapisuj kliknięcia

Ochrona przed Zablokowanymi IP: Blokuj kliknięcia od znanych złych aktorów:

• Definiuj zablokowane adresy IP i zakresy
• Kliknięcia ze zablokowanych adresów IP są automatycznie odrzucane lub usuwane
• Dostępne oddzielne ustawienia dla każdego konta

Ochrona przed Zablokowanymi Referrerami: Blokuj kliknięcia z podejrzanych URL-i referrerów:

• Definiuj wzorce dla zablokowanych URL-i referrerów
• Zapobiega oszustwom kliknięć z określonych stron lub źródeł ruchu

Listy Dozwolonych IP/Referrerów: Twórz białe listy dla legalnego ruchu:

• Akceptuj tylko kliknięcia z zatwierdzonych zakresów IP
• Akceptuj tylko kliknięcia z zatwierdzonych URL-i referrerów
• Opcja pozwalania na puste referrery
• Opcja pozwalania na domeny docelowe banerów

Akcje Ochrony przed Oszustwami

Dla każdego typu wykrywania możesz wybrać:

• Odrzuć: Zapisz kliknięcie, ale oznacz jako odrzucone (widoczne w raportach)
• Nie Zapisuj: Odrzuć kliknięcie całkowicie (nie zapisane w bazie danych)

Ochrona przed Oszustwami Akcji/Sprzedaży

Podobne zabezpieczenia istnieją dla śledzenia sprzedaży i leadów.

Wykrywanie Duplikatów

Duplikaty Zamówień z Tego Samego IP: Wykrywaj wielokrotne sprzedaże z tego samego adresu IP:

• Konfigurowalne okno czasowe w sekundach
• Opcjonalne dopasowywanie po user agencie, kampanii, ID produktu, ID zamówienia lub typie prowizji
• Zapobiega szybkim oszukańczym zgłoszeniom sprzedaży

Duplikaty ID Zamówień: Wykrywaj sprzedaże z tym samym ID zamówienia:

• Konfigurowalne okno czasowe w godzinach
• Opcjonalne dopasowywanie po kampanii lub ID produktu
• Zapobiega podwójnym wypłatom prowizji z odświeżeń strony lub ataków replay

Blokowanie Zamówień

Podczas przetwarzania sprzedaży system tymczasowo blokuje ID zamówienia:

• Zapobiega warunkom wyścigu, gdy to samo zamówienie jest zgłaszane wielokrotnie jednocześnie
• Blokada wygasa po 60 sekundach
• Zablokowane duplikaty zamówień otrzymują jasne komunikaty błędów

Ochrona IP i Referrerów

Sprzedaże dziedziczą te same zabezpieczenia zablokowanych/dozwolonych IP i referrerów co kliknięcia:

• Blokuj sprzedaże ze zablokowanych adresów IP
• Blokuj sprzedaże ze zablokowanych URL-i referrerów
• Pozwalaj na sprzedaże tylko z IP lub referrerów na białej liście
• Niestandardowe komunikaty odrzucenia dla każdego typu ochrony

Uwierzytelnianie Dwuskładnikowe

Post Affiliate Pro obsługuje uwierzytelnianie dwuskładnikowe TOTP (Time-based One-Time Password) dla zwiększonego bezpieczeństwa konta.

Implementacja

• Używa standardowego algorytmu TOTP kompatybilnego z Google Authenticator i podobnymi aplikacjami
• Generuje unikalny tajny klucz dla każdego użytkownika przechowywany bezpiecznie w atrybutach użytkownika
• Zapewnia kody QR dla łatwej konfiguracji aplikacji mobilnej
• Waliduje kody z 90-sekundowym oknem (3 okresy po 30 sekund każdy)

Funkcje Bezpieczeństwa

• Ograniczenie Szybkości: Walidacja kodu dwuskładnikowego jest ograniczona do 5 prób na minutę
• Unieważnienie Sesji: Włączenie 2FA unieważnia wszystkie inne aktywne sesje dla tego użytkownika
• Unieważnienie Żądań Resetowania Hasła: Oczekujące żądania resetowania hasła są unieważniane po włączeniu 2FA
• Logowanie Audytu: Aktywacja 2FA jest logowana w ścieżce audytu

Dostępność

Uwierzytelnianie dwuskładnikowe jest dostępne zarówno dla:

• Użytkowników panelu sprzedawcy
• Użytkowników panelu partnera

Każdy użytkownik może włączyć 2FA niezależnie poprzez ustawienia swojego profilu.

Najlepsze Praktyki Bezpieczeństwa

Aby zmaksymalizować bezpieczeństwo Twojej instalacji Post Affiliate Pro:

Bezpieczeństwo API

1. Regularnie rotuj klucze API: Ustaw daty wygaśnięcia i okresowo wymieniaj klucze
2. Używaj minimalnych zakresów: Nadawaj tylko uprawnienia, których każda integracja faktycznie potrzebuje
3. Implementuj białą listę IP: Ogranicz dostęp do API do znanych adresów IP serwerów
4. Monitoruj użycie: Przeglądaj liczniki użycia kluczy API i znaczniki czasu ostatniego użycia
5. Używaj OAuth dla zewnętrznych systemów: Preferuj krótkoterminowe tokeny OAuth dla integracji zewnętrznych

Bezpieczeństwo Konta

1. Włącz uwierzytelnianie dwuskładnikowe: Wymagaj 2FA dla wszystkich kont sprzedawców
2. Używaj silnych haseł: Połącz z 2FA dla maksymalnej ochrony
3. Konfiguruj limity szybkości logowania: Ustaw odpowiednie limity, aby zapobiegać atakom brute-force
4. Implementuj ograniczenia IP: Używaj list dozwolonych IP dla wrażliwych kont
5. Przeglądaj logi audytu: Regularnie sprawdzaj log audytu pod kątem podejrzanej aktywności

Zapobieganie Oszustwom

1. Włącz ochronę przed oszustwami sprzedaży: Używaj weryfikacji sumy kontrolnej MD5 dla wszystkich kampanii
2. Konfiguruj wykrywanie duplikatów: Ustaw odpowiednie okna czasowe dla Twojego modelu biznesowego
3. Używaj blokowania IP proaktywnie: Blokuj znane oszukańcze zakresy IP
4. Monitoruj odrzucone transakcje: Przeglądaj odrzucone kliknięcia i sprzedaże pod kątem wzorców
5. Dostosuj komunikaty oszustw: Jasne komunikaty pomagają legalnym użytkownikom zrozumieć odrzucenia

Zasoby Bazy Wiedzy

Szczegółowe instrukcje konfiguracji znajdziesz w naszej dokumentacji wsparcia:

• Dokumentacja API v3
• Zarządzanie Kluczami API
• Tworzenie Tokena OAuth
• Konfiguracja Ochrony przed Oszustwami