Как запретить анонимный доступ к REST API?

Трекер 2017.4 "смотрит" в Интернет. Не очень хорошо, что "/rest/{issue|import|export}" доступен всем и каждому.

Если блокирую "^~ /rest/" на уровне web-сервера, то получаю назойливое сообщение в интерфейсе "Ошибка. Подробности смотрите в журнале сервера.".

 

Есть совет, как правильно ограничить доступ к REST API?

0
4 comments
Official comment

Это сделать никак нельзя, если ставить вопрос "можно ли выключить анонимный REST", но это можно обойти с помощью бана гостевого аккаунта, тогда никто, кроме зарегистрированных юзеров, не сможет выполнять действия с REST.

Avatar
Permanently deleted user

Добрый день!

Standalone 2017.4.38399, пользователь "guest" заблокирован, на анонимный запрос "/rest/issue" отдаётся XML со всеми задачами. Это запланированное поведение системы?

0

Вы залогинены в YouTrack, когда делаете запрос?

 

0
Avatar
Permanently deleted user

В том то и дело, что нет, запрос не из браузера.

0

Please sign in to leave a comment.