04 курс

Спринт 4

Пакеты hash, crypto. Безопасность информации
5/5
Введение в спринт 4
Хеширование и шифрование
Авторизация: JSON Web Token
Инкремент 14
Что вы узнали
Многопоточность
9/9
Тема 1/2: Пакеты hash, crypto. Безопасность информации → Урок 4/5

Инкремент 14

Задание по треку «Сервис сокращения URL»

Добавьте в сервис функциональность аутентификации пользователя.
Сервис должен:
  • Выдавать пользователю симметрично подписанную куку, содержащую уникальный идентификатор пользователя, если такой куки не существует или она не проходит проверку подлинности.
  • Иметь хендлер GET /api/user/urls, который сможет вернуть пользователю все когда-либо сокращённые им URL в формате:
(JSON)
[
    {
        "short_url": "http://...",
        "original_url": "http://..."
    },
    ...
]
  • Если кука не содержит ID пользователя, хендлер должен возвращать HTTP-статус 401 Unauthorized.
  • При отсутствии сокращённых пользователем URL хендлер должен отдавать HTTP-статус 204 No Content.
Получить куки запроса можно из поля (*http.Request).Cookie(), а установить — методом http.SetCookie().

Задание по треку «Сервис сбора метрик и алертинга»

Реализуйте механизм подписи передаваемых данных по алгоритму SHA256. Для этого посчитайте hash от всего тела запроса и разместите его в HTTP-заголовке HashSHA256.
Хеш нужно считать от строки с учётом ключа, который передан агенту/серверу на старте: hash(value, key).
Агент:
  • Добавьте поддержку аргумента через флаг -k=<КЛЮЧ> и переменную окружения KEY=<КЛЮЧ>.
  • При наличии ключа агент должен вычислять хеш и передавать в HTTP-заголовке запроса с именем HashSHA256.
Сервер:
  • Добавьте поддержку аргумента через флаг -k=<КЛЮЧ> и переменную окружения KEY=<КЛЮЧ>.
  • При наличии ключа во время обработки запроса сервер должен проверять соответствие полученного и вычисленного хеша.
  • При несовпадении сервер должен отбрасывать полученные данные и возвращать http.StatusBadRequest.
  • При наличии ключа на этапе формирования ответа сервер должен вычислять хеш и передавать его в HTTP-заголовке ответа с именем HashSHA256.
Внимание! Это учебный пример, в котором сделан акцент на закреплении пройденной темы, а не на безопасности. В реальной жизни использовать подпись таким образом не следует. Остаётся возможность передать серверу перехваченные ранее данные с корректным хешем (старое значение счётчика).