Аутентификация
Rediacc поддерживает несколько методов аутентификации:
- Пароль: Традиционный вход с помощью email и пароля
- Magic Link: Вход без пароля через ссылку в email (срок действия 15 минут)
- Двухфакторная аутентификация (2FA): На основе TOTP с резервными кодами
При включенной 2FA для входа требуется как пароль (или Magic Link), так и 6-значный код TOTP.
API-токены
API-токены аутентифицируют операции между машинами (активация лицензий CLI, проверки статуса).
Области действия:
license:read— Запрос статуса подписки и лицензииlicense:activate— Активация машин и выдача лицензий репозиториевsubscription:read— Чтение деталей подписки
Функции безопасности:
- Привязка к IP: первый запрос закрепляет токен за этим IP-адресом
- Ограничение по команде: токены можно ограничить определенной командой
- Автоматический отзыв: токены отзываются при удалении создателя из организации
Создание токена:
# Via the portal: API Tokens > Create
# Token value is shown once -- save it securelyПоток кода устройства
CLI может аутентифицироваться на безголовых машинах с помощью потока кода устройства:
rdc config remote enable --headless
# Displays: Enter code XXXX-XXXX-XX at https://www.rediacc.com/account/authorize
# After approval, CLI receives credentials automaticallyConfig Storage
Для зашифрованной конфигурации с серверной синхронизацией см. Config Storage — полное руководство. Config Storage использует:
- Шифрование с нулевым разглашением (сервер никогда не видит открытый текст)
- Деривацию ключей на основе passkey (WebAuthn + PRF)
- Ротируемые токены с ротацией при каждом запросе
Безопасность сессий
| Тип токена | Срок действия | Хранение | Обновление |
|---|---|---|---|
| Access Token (JWT) | 15 минут | HttpOnly cookie | Автоматически через refresh token |
| Refresh Token | 7 дней | HttpOnly cookie | Ротация при каждом использовании |
| Elevated Session | 10 минут | На стороне сервера | Запускается повторной аутентификацией |
Повышенные сессии требуются для чувствительных операций: смена пароля, смена email, настройка 2FA, передача владения и деструктивные действия администратора.
Модель разрешений
Rediacc использует три независимых уровня разрешений:
Уровень 1: Системная роль — Определяет доступ к конечным точкам системного администрирования.
Уровень 2: Роль организации — Контролирует, что пользователь может делать внутри своей организации (owner, admin, member).
Уровень 3: Роль команды — Ограничивает доступ к ресурсам конкретной команды (team_admin, member). Владельцы и администраторы организации обходят проверки роли команды.
Каждый API-запрос проходит через все применимые уровни последовательно. Запрос к конечной точке с ограничением по команде должен удовлетворять аутентификации сессии, членству в организации и доступу к команде.
Каналы обновлений
CLI поддерживает два канала выпуска:
- stable (по умолчанию): Продвигается из edge после 7-дневного периода выдержки; выберите этот канал для консервативного темпа обновлений
- edge: Последние функции, обновляется с каждым выпуском
rdc update --channel edge # Switch to edge
rdc update --channel stable # Switch back to stable
rdc update --status # Show current channel