From d2df82a14c487f9f42c53bc710d6f5d06a33625e Mon Sep 17 00:00:00 2001 From: Nikita Velgin Date: Wed, 11 Mar 2026 01:17:37 +0300 Subject: [PATCH 1/3] add x-api-token deprecation --- .../high-level-architecture.ru.md | 4 ++-- .../documentation/release-notes/v1.4.0.ru.md | 4 ++++ content/documentation/user/mcp-server.ru.md | 20 +++++++++---------- 3 files changed, 16 insertions(+), 12 deletions(-) diff --git a/content/documentation/admin/architecture/high-level-architecture.ru.md b/content/documentation/admin/architecture/high-level-architecture.ru.md index 659e90a..7f3fc3f 100644 --- a/content/documentation/admin/architecture/high-level-architecture.ru.md +++ b/content/documentation/admin/architecture/high-level-architecture.ru.md @@ -65,8 +65,8 @@ DDP обеспечивает единый доступ к инструмента **Протокол доступа:** HTTPS (TCP/443) **Аутентификация:** -- Через JWT токен доступа, полученный от Dex (заголовок `Authorization: Bearer `) -- Через API ключ (для программного доступа) +- Браузер: сессия по httpOnly cookie (JWT от Dex). +- Программный доступ: API-токен из раздела «Профиль», заголовок `Authorization: Bearer `. REST API предоставляет полный набор функций для управления всеми объектами платформы: сущностями, ресурсами, действиями, источниками данных, виджетами, процессами и другими компонентами. diff --git a/content/documentation/release-notes/v1.4.0.ru.md b/content/documentation/release-notes/v1.4.0.ru.md index 2eca0b4..d8552d6 100644 --- a/content/documentation/release-notes/v1.4.0.ru.md +++ b/content/documentation/release-notes/v1.4.0.ru.md @@ -7,6 +7,10 @@ weight: 930 Выпуск релиза планируется 06.04.2026 {{< /alert >}} +## Изменения, влияющие на обратную совместимость + +При доступе к DDP через API или MCP заголовок `X-API-TOKEN` больше не поддерживается. Используйте заголовок `Authorization: Bearer `. + ## Новые возможности ### Действия diff --git a/content/documentation/user/mcp-server.ru.md b/content/documentation/user/mcp-server.ru.md index 344a688..7bd417f 100644 --- a/content/documentation/user/mcp-server.ru.md +++ b/content/documentation/user/mcp-server.ru.md @@ -123,7 +123,7 @@ MCP — это открытый протокол для взаимодейств 1. **Получение параметров** - Войдите в Deckhouse Development Platform. - - Получите ваш API-токен в разделе настроек профиля. + - Получите ваш API-токен в разделе «Профиль». - Запишите URL вашей платформы (например: `https://ddp.example.com`). 1. **Настройка в LM Studio** @@ -142,9 +142,9 @@ MCP — это открытый протокол для взаимодейств - Замените `ddp.example.com` на адрес вашей платформы. - **Transport**: `HTTP` или `JSON-RPC`. - **Authentication**: - - **Type**: `Custom Header` или `API Key`. - - **Header Name**: `X-API-TOKEN`. - - **Token**: вставьте ваш API-токен от платформы. + - **Type**: `Bearer Token` или аналог (заголовок `Authorization`). + - **Header**: `Authorization: Bearer <ваш_api_токен>`. + - **Token**: вставьте ваш API-токен от платформы (из раздела «Профиль»). 1. **Проверка подключения** @@ -170,8 +170,8 @@ MCP-сервер Deckhouse Development Platform совместим с любым 1. **URL эндпоинта**: `https://your-platform.com/api/v2/mcp`. 1. **Протокол**: JSON-RPC 2.0. 1. **Аутентификация**: - - Заголовок: `X-API-TOKEN: YOUR_API_TOKEN`. - - Где `YOUR_API_TOKEN` — ваш API-токен от платформы. + - Заголовок: `Authorization: Bearer YOUR_API_TOKEN`. + - Где `YOUR_API_TOKEN` — ваш API-токен от платформы (раздел «Профиль»). 1. **Метод**: POST. ### Пример запроса к MCP-серверу @@ -179,7 +179,7 @@ MCP-сервер Deckhouse Development Platform совместим с любым **HTTP-заголовки:** ```sh -X-API-TOKEN: your-api-token-here +Authorization: Bearer your-api-token-here Content-Type: application/json ``` @@ -220,7 +220,7 @@ Content-Type: application/json ### Аутентификация -- Все запросы к MCP-серверу должны быть аутентифицированы с помощью API-токена из вашего профиля. Токен передается через заголовок `X-API-TOKEN: TOKEN`. +- Все запросы к MCP-серверу должны быть аутентифицированы с помощью API-токена из раздела «Профиль». Токен передаётся в заголовке `Authorization: Bearer `. - Права доступа соответствуют правам вашего пользователя в платформе. ### Права доступа @@ -241,8 +241,8 @@ Content-Type: application/json ### Ошибка аутентификации - Проверьте правильность формата токена. -- Убедитесь, что токен не истек. -- Убедитесь, что используется заголовок `X-API-TOKEN` (не `Authorization`). +- Убедитесь, что токен не истёк. +- Убедитесь, что используется заголовок `Authorization: Bearer `. ### Инструмент возвращает ошибку доступа From 37a7a7c8353812896d30839c1b80ef051a6167da Mon Sep 17 00:00:00 2001 From: Nikita Velgin Date: Wed, 11 Mar 2026 01:44:47 +0300 Subject: [PATCH 2/3] add release notes enitry --- content/documentation/release-notes/v1.4.0.ru.md | 4 ++++ 1 file changed, 4 insertions(+) diff --git a/content/documentation/release-notes/v1.4.0.ru.md b/content/documentation/release-notes/v1.4.0.ru.md index d8552d6..3b81883 100644 --- a/content/documentation/release-notes/v1.4.0.ru.md +++ b/content/documentation/release-notes/v1.4.0.ru.md @@ -11,6 +11,10 @@ weight: 930 При доступе к DDP через API или MCP заголовок `X-API-TOKEN` больше не поддерживается. Используйте заголовок `Authorization: Bearer `. +## Безопасность + +- Access- и refresh-токены сессии больше не хранятся в local storage браузера: они передаются только через httpOnly cookie, что снижает риск утечки токенов при XSS. + ## Новые возможности ### Действия From 91be56ffbb4e10df52bcaac28a68d2eeaaf4a707 Mon Sep 17 00:00:00 2001 From: Nikita Velgin Date: Wed, 11 Mar 2026 01:45:12 +0300 Subject: [PATCH 3/3] add release notes enitry --- content/documentation/release-notes/v1.4.0.ru.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/content/documentation/release-notes/v1.4.0.ru.md b/content/documentation/release-notes/v1.4.0.ru.md index 3b81883..129b800 100644 --- a/content/documentation/release-notes/v1.4.0.ru.md +++ b/content/documentation/release-notes/v1.4.0.ru.md @@ -13,7 +13,7 @@ weight: 930 ## Безопасность -- Access- и refresh-токены сессии больше не хранятся в local storage браузера: они передаются только через httpOnly cookie, что снижает риск утечки токенов при XSS. +- Access и refresh-токены сессии пользователя больше не хранятся в local storage браузера: они передаются только через httpOnly cookie, что снижает риск утечки токенов при XSS. ## Новые возможности