Подключение Saby по OAuth 2.0
Подключение Saby выполняется отдельно от установки приложения в Битрикс24.
- Администратор запускает вход или переподключение из настроек.
- Приложение создаёт одноразовый защищённый контекст авторизации.
- Пользователь подтверждает доступ на стороне Saby.
- Callback получает код авторизации.
- Код обменивается на access/refresh tokens.
- Окно закрывается, настройки показывают состояние «Подключено».
Требования безопасности
- одноразовый state с ограниченным сроком жизни;
- проверка соответствия портала и callback-контекста;
- токены только в защищённом хранилище, не в Git и не в логах;
- обновление access token через refresh token;
- безопасное переподключение без смешивания tenant-контекстов;
- маскирование ошибок авторизации.
Отпечаток сертификата не является OAuth-токеном. Он относится к отдельной операции электронной подписи и должен храниться как секрет.
Статус проверки
Точные URL, scopes, формат state и способ хранения токенов публикуются только после аудита исходников; секретные значения остаются во внутренней документации.