Как запретить анонимный доступ к REST API?

Трекер 2017.4 "смотрит" в Интернет. Не очень хорошо, что "/rest/{issue|import|export}" доступен всем и каждому.

Если блокирую "^~ /rest/" на уровне web-сервера, то получаю назойливое сообщение в интерфейсе "Ошибка. Подробности смотрите в журнале сервера.".

 

Есть совет, как правильно ограничить доступ к REST API?

4 comments
Comment actions Permalink
Official comment

Это сделать никак нельзя, если ставить вопрос "можно ли выключить анонимный REST", но это можно обойти с помощью бана гостевого аккаунта, тогда никто, кроме зарегистрированных юзеров, не сможет выполнять действия с REST.

Comment actions Permalink

Добрый день!

Standalone 2017.4.38399, пользователь "guest" заблокирован, на анонимный запрос "/rest/issue" отдаётся XML со всеми задачами. Это запланированное поведение системы?

0
Comment actions Permalink

Вы залогинены в YouTrack, когда делаете запрос?

 

0
Comment actions Permalink

В том то и дело, что нет, запрос не из браузера.

0

Please sign in to leave a comment.