Làm cách nào để bảo mật các lệnh gọi API REST?

Tôi đang phát triển ứng dụng web yên tĩnh sử dụng một số khuôn khổ web phổ biến trên phần phụ trợ, chẳng hạn (rails, sinatra, flask, express.js). Lý tưởng nhất là tôi muốn phát triển phía khách hàng với Backbone.js. Làm cách nào để chỉ cho phép phía ứng dụng khách javascript của tôi tương tác với các lệnh gọi API đó? Tôi không muốn các lệnh gọi API đó ở chế độ công khai và được gọi bằng curlhoặc đơn giản bằng cách nhập liên kết trên trình duyệt.

Theo nguyên tắc đầu tiên, nếu API của bạn được sử dụng bởi ứng dụng khách JS của bạn, bạn phải giả định rằng nó là công khai: Một trình gỡ lỗi JS đơn giản đặt kẻ tấn công vào một vị trí, nơi anh ta có thể gửi một yêu cầu giống nhau từng byte từ một công cụ của sự lựa chọn của mình.

Điều đó nói rằng, nếu tôi đọc câu hỏi của bạn một cách chính xác, thì đây không phải là điều bạn muốn tránh: Điều bạn thực sự không muốn xảy ra là API của bạn được sử dụng (thường xuyên) mà không có ứng dụng khách JS của bạn tham gia. Dưới đây là một số ý tưởng về cách nếu không thực thi, thì ít nhất hãy khuyến khích sử dụng ứng dụng khách của bạn:

• Tôi chắc chắn, API của bạn có một số loại trường xác thực (ví dụ: băm được tính trên máy khách). Nếu không, hãy xem câu hỏi SO này . Đảm bảo bạn sử dụng muối (hoặc thậm chí là khóa API) được cấp cho ứng dụng khách JS của bạn trên cơ sở phiên (không phải mã cứng). Bằng cách này, người tiêu dùng trái phép API của bạn bị buộc phải làm nhiều việc hơn.

• Khi tải ứng dụng khách JS, hãy nhớ một số tiêu đề HTTP (tác nhân người dùng nghĩ đến) và địa chỉ IP và yêu cầu xác thực lại nếu chúng thay đổi, sử dụng danh sách đen cho các nghi phạm thông thường. Điều này buộc kẻ tấn công phải làm lại bài tập về nhà kỹ lưỡng hơn.

• Ở phía máy chủ, hãy nhớ một vài lệnh gọi API cuối cùng và trước khi cho phép một lệnh khác, hãy kiểm tra xem logic nghiệp vụ có cho phép lệnh mới ngay bây giờ hay không: Điều này phủ nhận kẻ tấn công có khả năng tập trung nhiều phiên của mình vào một phiên với máy chủ của bạn: kết hợp với các biện pháp khác, điều này sẽ làm cho kẻ ngược đãi dễ dàng bị phát hiện.

Tôi có thể đã không nói điều đó với sự rõ ràng cần thiết: Tôi cho rằng không thể làm cho kẻ lạm dụng hoàn toàn không thể sử dụng dịch vụ của bạn, nhưng bạn có thể làm cho nó khó khăn như vậy, điều đó có thể không đáng.

Bạn nên triển khai một số loại hệ thống xác thực. Một cách tốt để xử lý điều này là xác định một số biến tiêu đề dự kiến. Ví dụ: bạn có thể có lệnh gọi API xác thực / đăng nhập trả về mã thông báo phiên. Các lệnh gọi tiếp theo tới API của bạn sẽ yêu cầu mã thông báo phiên được đặt trong biến tiêu đề HTTP với tên cụ thể như 'your-api-token'.

Ngoài ra, nhiều hệ thống tạo mã thông báo truy cập hoặc khóa được mong đợi (như youtube, facebook hoặc twitter) bằng cách sử dụng một số loại hệ thống tài khoản api. Trong những trường hợp đó, khách hàng của bạn sẽ phải lưu trữ chúng theo một cách nào đó trong máy khách.

Sau đó, nó chỉ đơn giản là vấn đề thêm một kiểm tra cho phiên vào khuôn khổ REST của bạn và đưa ra một ngoại lệ. Nếu có thể, mã trạng thái (đang hoạt động) sẽ là lỗi 401.

Hiện có một tiêu chuẩn mở được gọi là "JSON Web Token",

xem https://jwt.io/ & https://en.wikipedia.org/wiki/JSON_Web_Token

JSON Web Token (JWT) là một tiêu chuẩn mở dựa trên JSON (RFC 7519) để tạo các mã thông báo xác nhận một số yêu cầu. Ví dụ: một máy chủ có thể tạo mã thông báo có yêu cầu "đăng nhập với tư cách quản trị viên" và cung cấp mã đó cho khách hàng. Sau đó, khách hàng có thể sử dụng mã thông báo đó để chứng minh rằng họ đã đăng nhập với tư cách quản trị viên. Các mã thông báo được ký bằng khóa của máy chủ, vì vậy máy chủ có thể xác minh rằng mã thông báo đó là hợp pháp. Các mã thông báo được thiết kế nhỏ gọn, an toàn với URL và có thể sử dụng được, đặc biệt là trong ngữ cảnh đăng nhập một lần (SSO) của trình duyệt web. Các xác nhận quyền sở hữu JWT thường có thể được sử dụng để chuyển danh tính của người dùng đã xác thực giữa nhà cung cấp danh tính và nhà cung cấp dịch vụ hoặc bất kỳ loại xác nhận quyền sở hữu nào khác theo yêu cầu của quy trình kinh doanh. [1] [2] Các mã thông báo cũng có thể được xác thực và mã hóa. [3] [4]

Xin lỗi @MarkAmery và Eugene, nhưng điều đó không chính xác.

Ứng dụng js + html (client) của bạn đang chạy trong trình duyệt CÓ THỂ được thiết lập để loại trừ các lệnh gọi trực tiếp trái phép tới API như sau:

1. Bước đầu tiên: Thiết lập API để yêu cầu xác thực. Trước tiên, máy khách phải tự xác thực thông qua máy chủ (hoặc một số máy chủ bảo mật khác), ví dụ như yêu cầu người dùng cung cấp mật khẩu chính xác.

Trước khi xác thực, các lệnh gọi tới API không được chấp nhận.

Trong quá trình xác thực, một "mã thông báo" được trả lại.

Sau khi xác thực, chỉ các lệnh gọi API có "mã thông báo" xác thực mới được chấp nhận.

Tất nhiên ở giai đoạn này, chỉ những người dùng được ủy quyền có mật khẩu mới có thể truy cập API, mặc dù nếu họ là lập trình viên gỡ lỗi ứng dụng, họ có thể truy cập trực tiếp vào mục đích thử nghiệm.

2. Bước thứ hai: Bây giờ, hãy thiết lập một API bảo mật bổ sung, được gọi trong giới hạn thời gian ngắn sau khi ứng dụng js + html của ứng dụng khách được yêu cầu ban đầu từ máy chủ. "Cuộc gọi lại" này sẽ cho máy chủ biết rằng máy khách đã được tải xuống thành công. Hạn chế lệnh gọi API REST của bạn chỉ hoạt động nếu ứng dụng khách được yêu cầu gần đây và thành công.

Bây giờ để sử dụng API của bạn, trước tiên họ phải tải xuống ứng dụng khách và thực sự chạy nó trong trình duyệt. Chỉ sau khi nhận được lệnh gọi lại thành công và sau đó là mục nhập của người dùng trong một khoảng thời gian ngắn, API mới chấp nhận lệnh gọi.

Vì vậy, bạn không phải lo lắng rằng đây có thể là một người dùng trái phép mà không có thông tin xác thực.

(Tiêu đề của câu hỏi, 'Làm cách nào để bảo mật các lệnh gọi API REST', và từ hầu hết những gì bạn nói, đó là mối quan tâm chính của bạn, và không phải là câu hỏi nghĩa đen về CÁCH API của bạn được gọi, mà là BẰNG CÁCH NÀO, đúng không? )

1. Đặt var SESSION trên máy chủ khi máy khách tải index.html(hoặc backbone.jsv.v.) của bạn lần đầu tiên

2. Kiểm tra var này ở phía máy chủ trong mỗi lệnh gọi API.

PS đây không phải là một giải pháp "bảo mật" !!! Điều này chỉ là để giảm tải trên máy chủ của bạn để mọi người không lạm dụng nó hoặc "liên kết nóng" API của bạn từ các trang web và ứng dụng khác.

Đây là những gì tôi làm:

1. Bảo mật API bằng Tiêu đề HTTP với các lệnh gọi như X-APITOKEN:

2. Sử dụng các biến phiên trong PHP. Có sẵn hệ thống đăng nhập và lưu mã thông báo người dùng trong các biến phiên.

3. Gọi mã JS với Ajax sang PHP và sử dụng biến phiên với curl để gọi API. Theo cách đó, nếu biến phiên không được đặt, nó sẽ không gọi và mã PHP chứa Mã thông báo truy cập vào API.