Thực tiễn tốt nhất để bảo vệ API REST / dịch vụ web [đã đóng]

Khi thiết kế API REST hoặc dịch vụ, có bất kỳ thực tiễn tốt nhất nào được thiết lập để xử lý bảo mật (Xác thực, Ủy quyền, Quản lý danh tính) không?

Khi xây dựng API SOAP, bạn có WS-Security làm hướng dẫn và có nhiều tài liệu về chủ đề này. Tôi đã tìm thấy ít thông tin hơn về việc bảo vệ các điểm cuối REST.

Mặc dù tôi hiểu REST cố ý không có các đặc tả tương tự như WS- * Tôi hy vọng các thực tiễn tốt nhất hoặc các mẫu được đề xuất đã xuất hiện.

Bất kỳ thảo luận hoặc liên kết đến các tài liệu liên quan sẽ được đánh giá rất cao. Nếu có vấn đề, chúng tôi sẽ sử dụng WCF với các thông báo được tuần tự hóa POX / JSON cho API / Dịch vụ của API được xây dựng bằng cách sử dụng phiên bản 3.5 của .NET Framework.

Như đã nói, Amazon S3 là một mô hình tốt để làm việc. Chữ ký yêu cầu của họ có một số tính năng (chẳng hạn như kết hợp dấu thời gian) giúp bảo vệ chống lại cả yêu cầu vô tình và độc hại phát lại.

Điều thú vị về HTTP Basic là hầu như tất cả các thư viện HTTP đều hỗ trợ nó. Tất nhiên, bạn sẽ cần phải yêu cầu SSL trong trường hợp này bởi vì việc gửi mật khẩu văn bản gốc qua mạng gần như là một điều xấu. Basic thích hợp hơn với Digest khi sử dụng SSL vì ngay cả khi người gọi đã biết rằng thông tin đăng nhập là bắt buộc, Digest yêu cầu thêm một vòng để trao đổi giá trị nonce. Với Basic, người gọi chỉ cần gửi thông tin đăng nhập lần đầu tiên.

Khi danh tính của khách hàng được thiết lập, ủy quyền thực sự chỉ là một vấn đề thực hiện. Tuy nhiên, bạn có thể ủy quyền cho một số thành phần khác với mô hình ủy quyền hiện có. Một lần nữa, điều tuyệt vời về Basic ở đây là máy chủ của bạn kết thúc với một bản sao rõ ràng của mật khẩu của khách hàng mà bạn có thể chỉ cần chuyển sang một thành phần khác trong cơ sở hạ tầng của bạn khi cần.

Không có tiêu chuẩn nào cho REST ngoài HTTP. Có những dịch vụ REST được thiết lập ngoài kia. Tôi đề nghị bạn hãy xem qua chúng và cảm nhận về cách chúng hoạt động.

Ví dụ: chúng tôi đã mượn rất nhiều ý tưởng từ dịch vụ S3 REST của Amazon khi phát triển riêng của chúng tôi. Nhưng chúng tôi đã chọn không sử dụng mô hình bảo mật tiên tiến hơn dựa trên chữ ký yêu cầu. Cách tiếp cận đơn giản hơn là HTTP Basic auth qua SSL. Bạn phải quyết định những gì làm việc tốt nhất trong tình huống của bạn.

Ngoài ra, tôi đánh giá cao cuốn sách Dịch vụ web RESTful từ O'reilly. Nó giải thích các khái niệm cốt lõi và cung cấp một số thực tiễn tốt nhất. Nói chung, bạn có thể lấy mô hình họ cung cấp và ánh xạ nó tới ứng dụng của riêng bạn.

Bạn cũng có thể muốn xem OAuth , một giao thức mở mới nổi cho ủy quyền dựa trên mã thông báo cụ thể nhắm mục tiêu http apis.

Nó rất giống với cách tiếp cận được thực hiện bởi flickr và ghi nhớ apis "rest" sữa (không nhất thiết là ví dụ tốt về apis nghỉ ngơi, nhưng ví dụ hay về cách tiếp cận dựa trên mã thông báo).

Có một danh sách kiểm tra tuyệt vời được tìm thấy trên Github :

Xác thực

• Không phát minh lại bánh xe trong Xác thực, tạo mã thông báo, lưu trữ mật khẩu. Sử dụng các tiêu chuẩn.

• Sử dụng Max Retryvà bỏ tù các tính năng trong Đăng nhập.

• Sử dụng mã hóa trên tất cả các dữ liệu nhạy cảm.

JWT (Mã thông báo web JSON)

• Sử dụng một khóa phức tạp ngẫu nhiên (Bí mật JWT) để tạo ra vũ lực buộc mã thông báo rất khó khăn.

• Đừng trích xuất thuật toán từ tải trọng. Buộc thuật toán trong phần phụ trợ (HS256 hoặc RS256).

• Làm cho mã thông báo hết hạn ( TTL, RTTL) càng ngắn càng tốt.

• Không lưu trữ dữ liệu nhạy cảm trong JWTtải trọng, nó có thể được giải mã dễ dàng.

Ôi

• Luôn xác thực redirect_uriphía máy chủ để chỉ cho phép các URL được liệt kê trong danh sách trắng.

• Luôn cố gắng trao đổi mã và không mã thông báo (không cho phép response_type=token).

• Sử dụng tham số trạng thái với một hash ngẫu nhiên để ngăn chặn CSRFtrên OAuthquá trình xác thực.

• Xác định phạm vi mặc định và xác thực các tham số phạm vi cho từng ứng dụng.

Truy cập

• Giới hạn các yêu cầu (Throttling) để tránh các cuộc tấn công DDoS / brute-force.

• Sử dụng HTTPS ở phía máy chủ để tránh MITM (Man In The Middle Attack)

• Sử dụng HSTStiêu đề với SSL để tránh tấn công Dải SSL.

Đầu vào

• Sử dụng phương thức HTTP phù hợp theo thao tác: GET(đọc), POST(tạo), PUT/PATCH(thay thế / cập nhật) và DELETE(để xóa một bản ghi) và trả lời 405 Method Not Allowednếu phương thức được yêu cầu không phù hợp với tài nguyên được yêu cầu.

• Validate content-type theo yêu cầu Accepttiêu đề (Nội dung đàm phán) chỉ cho phép định dạng của bạn được hỗ trợ (ví dụ như application/xml, application/json, vv) và đáp ứng với 406 Not Acceptablephản ứng nếu không phù hợp.

• Validate content-typecủa posted dữ liệu như bạn chấp nhận (ví dụ application/x-www-form-urlencoded, multipart/form-data, application/json, vv).

• Xác thực đầu vào của Người dùng để tránh các lỗ hổng phổ biến (ví dụ XSS, SQL-Injection, Thực thi mã từ xa, v.v.).

• Không sử dụng bất kỳ dữ liệu nhạy cảm nào (thông tin đăng nhập, Mật khẩu, mã thông báo bảo mật hoặc khóa API) trong URL, nhưng sử dụng tiêu Authorizationđề chuẩn .

• Sử dụng dịch vụ Cổng API để bật bộ đệm, Rate Limitchính sách (ví dụ: Hạn ngạch, Bắt giữ tăng đột biến, Giới hạn tỷ lệ đồng thời) và triển khai tài nguyên API một cách linh hoạt.

Chế biến

• Kiểm tra xem tất cả các điểm cuối được bảo vệ đằng sau xác thực để tránh quá trình xác thực bị hỏng.

• ID tài nguyên của người dùng nên tránh. Sử dụng / tôi / đơn hàng thay vì / người dùng / 654321 / đơn hàng.

• Không tự động tăng ID. Sử dụng UUID thay thế.

• Nếu bạn đang phân tích tệp XML, hãy đảm bảo phân tích cú pháp thực thể không được bật để tránh XXE (tấn công thực thể bên ngoài XML).

• Nếu bạn đang phân tích tệp XML, hãy đảm bảo mở rộng thực thể không được bật để tránh bom Tỷ tỷ cười / XML thông qua tấn công mở rộng thực thể theo cấp số nhân.

• Sử dụng CDN để tải lên tập tin.

• Nếu bạn đang xử lý lượng dữ liệu khổng lồ, hãy sử dụng Công nhân và Hàng đợi để xử lý càng nhiều càng tốt trong nền và trả về phản hồi nhanh để tránh Chặn HTTP.

• Đừng quên tắt chế độ DEBUG .

Đầu ra

• Gửi X-Content-Type-Options: nosnifftiêu đề.

• Gửi X-Frame-Options: denytiêu đề.

• Gửi Content-Security-Policy: default-src 'none'tiêu đề.

• Hủy bỏ OS fingerprinting tiêu đề - X-Powered-By, Server, X-AspNet-Version, vv

• Buộc content-typecho phản hồi của bạn, nếu bạn quay lại application/jsonthì loại nội dung phản hồi của bạn là application/json.

• Không trả lại dữ liệu nhạy cảm như thông tin đăng nhập, Mật khẩu, mã thông báo bảo mật.

• Trả về mã trạng thái phù hợp theo các hoạt động hoàn thành. (ví dụ như 200 OK, 400 Bad Request, 401 Unauthorized, 405 Method Not Allowed, vv).

Tôi hơi ngạc nhiên về SSL với chứng chỉ ứng dụng khách chưa được đề cập. Cấp, cách tiếp cận này chỉ thực sự hữu ích nếu bạn có thể tin tưởng vào cộng đồng người dùng được xác định bằng chứng chỉ. Nhưng một số chính phủ / công ty phát hành chúng cho người dùng của họ. Người dùng không phải lo lắng về việc tạo thêm một kết hợp tên người dùng / mật khẩu khác và danh tính được thiết lập trên mỗi kết nối để giao tiếp với máy chủ có thể hoàn toàn không trạng thái, không cần phiên người dùng. (Không ngụ ý rằng bất kỳ / tất cả các giải pháp khác được đề cập đều yêu cầu phiên)

Mọi người trong những câu trả lời này đã bỏ qua kiểm soát truy cập / ủy quyền thực sự.

Ví dụ: nếu API / dịch vụ web REST của bạn là về BÀI ĐĂNG / NHẬN hồ sơ y tế, bạn có thể muốn xác định chính sách kiểm soát truy cập về người có thể truy cập dữ liệu và trong trường hợp nào. Ví dụ:

• các bác sĩ có thể NHẬN hồ sơ bệnh án của một bệnh nhân mà họ có mối quan hệ chăm sóc
• không ai có thể POST dữ liệu y tế ngoài giờ thực hành (ví dụ 9 đến 5)
• người dùng cuối có thể NHẬN hồ sơ y tế mà họ sở hữu hoặc hồ sơ bệnh án của bệnh nhân mà họ là người giám hộ
• y tá có thể CẬP NHẬT hồ sơ bệnh án của một bệnh nhân thuộc cùng đơn vị với y tá.

Để xác định và triển khai các ủy quyền chi tiết đó, bạn sẽ cần sử dụng ngôn ngữ kiểm soát truy cập dựa trên thuộc tính được gọi là XACML, Ngôn ngữ đánh dấu kiểm soát truy cập eXtensible.

Các tiêu chuẩn khác ở đây là dành cho:

• OAuth: id. Liên đoàn và ủy quyền, ví dụ: để một dịch vụ thay mặt tôi thực hiện dịch vụ khác (Facebook có thể đăng lên Twitter của tôi)
• SAML: liên kết danh tính / SSO web. SAML nói rất nhiều về người dùng.
• Các tiêu chuẩn WS-Security / WS- *: chúng tập trung vào giao tiếp giữa các dịch vụ SOAP. Chúng đặc trưng cho định dạng nhắn tin cấp ứng dụng (SOAP) và chúng xử lý các khía cạnh của nhắn tin, ví dụ như độ tin cậy, bảo mật, bảo mật, tính toàn vẹn, tính nguyên tử, sự kiện ... Không có kiểm soát truy cập nào và tất cả đều cụ thể đối với SOAP.

XACML là bất khả tri về công nghệ. Nó có thể được áp dụng cho các ứng dụng java, .NET, Python, Ruby ... các dịch vụ web, API REST, v.v.

Sau đây là các tài nguyên thú vị:

• trang web OASIS XACML
• các tiêu chuẩn NIST ABAC

Tôi đã sử dụng OAuth một vài lần và cũng đã sử dụng một số phương pháp khác (BASIC / DIGEST). Tôi hết lòng đề nghị OAuth. Liên kết sau đây là hướng dẫn tốt nhất tôi từng thấy khi sử dụng OAuth:

http://hueniverse.com/oauth/guide/

Một trong những bài viết hay nhất tôi từng gặp về Bảo mật vì nó liên quan đến REST đã kết thúc tại 1 RainDrop . API sử dụng OAuth của API cũng để bảo mật và bạn có toàn quyền truy cập vào các kênh tùy chỉnh của họ trong mã RestChess, điều mà tôi đã khám phá rất nhiều. Đây là bản demo tại Mix và bạn có thể tìm thấy bài đăng ở đây .

Cảm ơn lời khuyên tuyệt vời. Chúng tôi đã kết thúc bằng cách sử dụng tiêu đề HTTP tùy chỉnh để chuyển mã thông báo nhận dạng từ máy khách sang dịch vụ, để chuẩn bị tích hợp API RESTful của chúng tôi với khung Nhận dạng Zermatt sắp tới từ Microsoft. Tôi đã mô tả vấn đề ở đây và giải pháp của chúng tôi ở đây . Tôi cũng đã nghe lời khuyên của tinh chỉnh và mua Dịch vụ web RESTful - một cuốn sách rất hay nếu bạn đang xây dựng API RESTful dưới bất kỳ hình thức nào.

OWASP (Dự án bảo mật ứng dụng web mở) có một số bảng cheat bao gồm tất cả các khía cạnh của phát triển Ứng dụng Web. Dự án này là một nguồn thông tin rất có giá trị và đáng tin cậy. Về các dịch vụ REST, bạn có thể kiểm tra điều này: https://www.owasp.org/index.php/REST_Security_Cheat_Sheet

Tôi muốn giới thiệu OAuth 2/3. Bạn có thể tìm thêm thông tin tại http://oauth.net/2/

Tôi đã tìm kiếm rất nhiều về bảo mật ws yên tĩnh và chúng tôi cũng đã kết thúc bằng việc sử dụng mã thông báo qua cookie từ máy khách đến máy chủ để xác thực các yêu cầu. Tôi đã sử dụng bảo mật mùa xuân để ủy quyền các yêu cầu trong dịch vụ vì tôi phải xác thực và ủy quyền từng yêu cầu dựa trên các chính sách bảo mật được chỉ định đã có trong DB.

Việc thế giới SOAP được bảo vệ khá tốt với các tiêu chuẩn bảo mật không có nghĩa là nó được bảo mật theo mặc định. Ở nơi đầu tiên, các tiêu chuẩn rất phức tạp. Sự phức tạp không phải là một người bạn rất tốt về các lỗ hổng bảo mật và triển khai, chẳng hạn như các cuộc tấn công gói chữ ký XML là đặc hữu ở đây.

Đối với môi trường .NET tôi sẽ không giúp được gì nhiều, nhưng Xây dựng các dịch vụ web với Java, (một viên gạch có ~ 10 tác giả) đã giúp tôi rất nhiều trong việc hiểu kiến ​​trúc bảo mật WS- * và đặc biệt là các yêu cầu của nó.

Bản thân REST không cung cấp các tiêu chuẩn bảo mật, nhưng những thứ như OAuth và SAML đang nhanh chóng trở thành tiêu chuẩn trong không gian này. Tuy nhiên, xác thực và ủy quyền chỉ là một phần nhỏ trong những gì bạn cần xem xét. Nhiều lỗ hổng đã biết liên quan đến các ứng dụng web áp dụng rất nhiều cho apis REST. Bạn phải xem xét xác nhận đầu vào, bẻ khóa phiên, thông báo lỗi không phù hợp, lỗ hổng nhân viên nội bộ, v.v. Đây là một chủ đề lớn.

Tôi muốn thêm (phù hợp với stinkeymatt), giải pháp đơn giản nhất là thêm chứng chỉ SSL vào trang web của bạn. Nói cách khác, đảm bảo url của bạn là HTTPS: //. Điều đó sẽ bao gồm an ninh vận tải của bạn (bang for the buck). Với url của RESTful, ý tưởng là giữ cho nó đơn giản (không giống như WS * security / SAML), bạn có thể sử dụng kết nối oAuth2 / openID hoặc thậm chí là Auth cơ bản (trong trường hợp đơn giản). Nhưng bạn vẫn sẽ cần SSL / HTTPS. Vui lòng kiểm tra bảo mật ASP.NET Web API 2 tại đây: http://www.asp.net/web-api/overview/security (Bài viết và Video)

Vì @Nathan đã kết thúc với tiêu đề HTTP đơn giản và một số người đã nói chứng chỉ SSL phía máy khách và OAuth2. Ý chính của nó là ... API REST của bạn không cần phải xử lý bảo mật vì điều đó thực sự nằm ngoài phạm vi của API.

Thay vào đó, một lớp bảo mật nên được đặt lên trên nó, cho dù đó là HTTP Header đằng sau proxy web (một cách tiếp cận phổ biến như SiteMinder, Zermatt hoặc thậm chí Apache HTTPd), hoặc phức tạp như OAuth 2.

Điều quan trọng là các yêu cầu sẽ hoạt động mà không có bất kỳ tương tác của người dùng cuối. Tất cả những gì cần thiết là để đảm bảo rằng kết nối với API REST được xác thực. Trong Java EE, chúng ta có khái niệm về một userPrincipalcái có thể thu được trên một HttpServletRequest. Nó cũng được quản lý trong bộ mô tả triển khai rằng một mẫu URL có thể được bảo mật để mã API REST không cần phải kiểm tra nữa.

Trong thế giới WCF, tôi sẽ sử dụng ServiceSecurityContext.Currentđể có được bối cảnh bảo mật hiện tại. Bạn cần cấu hình ứng dụng của bạn để yêu cầu xác thực.

Có một ngoại lệ đối với tuyên bố tôi đã nêu ở trên và đó là việc sử dụng một nonce để ngăn chặn phát lại (có thể là các cuộc tấn công hoặc ai đó chỉ gửi cùng một dữ liệu hai lần). Phần đó chỉ có thể được xử lý trong lớp ứng dụng.

Để bảo mật ứng dụng web, bạn nên xem OWASP ( https://www.owasp.org/index.php/Main_Page ) cung cấp các cheatheets cho các cuộc tấn công bảo mật khác nhau. Bạn có thể kết hợp càng nhiều biện pháp càng tốt để bảo mật Ứng dụng của mình. Liên quan đến bảo mật API (ủy quyền, xác thực, quản lý danh tính), có nhiều cách như đã đề cập (Cơ bản, Tiêu hóa và OAuth). Có các lỗ lặp trong OAuth1.0, vì vậy bạn có thể sử dụng OAuth1.0a (OAuth2.0 không được áp dụng rộng rãi do lo ngại về đặc tả)

Đã được một lúc nhưng câu hỏi vẫn có liên quan, mặc dù câu trả lời có thể đã thay đổi một chút.

API Gateway sẽ là một giải pháp linh hoạt và có cấu hình cao. Tôi đã thử nghiệm và sử dụng KONG khá nhiều và thực sự thích những gì tôi thấy. KONG cung cấp API REST của quản trị viên mà bạn có thể sử dụng để quản lý người dùng.

Express-gateway.io gần đây hơn và cũng là Cổng API.