Безопасность интеграций: API‑ключи, вебхуки и доступы

Каждая интеграция — новая точка входа: ключи API, вебхуки, OAuth‑токены. Компрометация даёт доступ не только к сайту, но и к связанным сервисам.

Базовые меры

• Хранение секретов вне репозитория (env, vault).
• Минимальные права у API‑ключей (least privilege).
• Ротация ключей и журнал доступа.

Вебхуки

Проверяйте подпись payload, используйте HTTPS, ограничивайте IP источника, если платформа позволяет.