Перейти к основному содержимому

Подключение Saby по OAuth 2.0

Подключение Saby выполняется отдельно от установки приложения в Битрикс24.

  1. Администратор запускает вход или переподключение из настроек.
  2. Приложение создаёт одноразовый защищённый контекст авторизации.
  3. Пользователь подтверждает доступ на стороне Saby.
  4. Callback получает код авторизации.
  5. Код обменивается на access/refresh tokens.
  6. Окно закрывается, настройки показывают состояние «Подключено».

Требования безопасности

  • одноразовый state с ограниченным сроком жизни;
  • проверка соответствия портала и callback-контекста;
  • токены только в защищённом хранилище, не в Git и не в логах;
  • обновление access token через refresh token;
  • безопасное переподключение без смешивания tenant-контекстов;
  • маскирование ошибок авторизации.

Отпечаток сертификата не является OAuth-токеном. Он относится к отдельной операции электронной подписи и должен храниться как секрет.

Статус проверки

Точные URL, scopes, формат state и способ хранения токенов публикуются только после аудита исходников; секретные значения остаются во внутренней документации.