Giya sa API Security
Pasiuna
Unsa ang API Economy?
Seguridad sa Web API
- REST (Pagbalhin sa Representasyon sa Estado).
REST API Security
SOAP API, Seguridad
Ang mga SOAP API naghatag og built-in nga mekanismo sa seguridad nga gitawag og Web Services Security (WS Security). Ilang susihon ang authentication ug authorization. Gigamit nila ang XML encryption, mga pirma sa XML, ug mga token sa SAML.
Ang SOAP mao ang husto nga pamaagi alang sa pag-standardize ug pag-encrypt sa Mga Serbisyo sa Web. Ang SOAP mas maayong alternatibo kaysa REST.
Ang SOAP limitado sa XML apan ang REST makadumala sa bisan unsang format sa datos. Ang JSON mas sayon sabton kay sa XML. Ang paggamit sa REST alang sa transportasyon sa datos makatipig salapi sa mga gasto sa imprastraktura sa kompyuter.
Pagdumala sa API
Ang pagdumala sa API nagtabang sa mga negosyo sa paghimo sa ilang mga digital nga kapanguhaan.
Sa ubos mao ang pipila ka mga paagi sa pagdumala sa seguridad sa API:
1. Pagpamatuod
Ang HTTP Basic Authentication kay usa ka pamaagi para sa usa ka kliyente sa pag-authenticate gamit ang API Gateway.
2. OAuth2.0 Pagpamatuod
- Ang dagan sa password sa username: diin ang programa adunay direkta nga pag-access sa mga kredensyal sa gumagamit.
- Daloy sa web server: diin ang server makapanalipod sa sekreto sa konsumidor.
- Ang dagan sa user-agent: gigamit sa mga aplikasyon nga dili makatipig sa sekreto sa konsumidor.
3. JSON Web Token Authentication
Ang JWT Token usa ka JSON Object ug base64 nga gi-encode ug gipirmahan gamit ang shared key. Ang JWT nagsiguro nga ang usa ka gitakda nga tiggamit lamang ang makahimo og usa ka talagsaon nga timaan. Ang mga JWT wala ma-encrypt. Bisan kinsa nga adunay access sa token makakuha sa datos.
Mga Benepisyo sa JWT
- Ang token naglangkob sa tanan nga kasayuran nga gikinahanglan aron mapamatud-an ang tiggamit.
- Sayon nga likayan ang pagsalig sa mga sentralisado nga mga server sa pag-authenticate ug mga database.
- Ang pag-verify naglakip sa pagsusi sa pirma ug uban pang mga hinungdan.
- Ang JWT usa ka medium-life token nga adunay expiration date nga gitakda tali sa pipila ka semana hangtod sa mas taas pa
- Ang scalability sa kontemporaryong web server hardware sayon…
4. Mga Pirma sa HTTP
Sa JWT, ang ulohan sa pagtugot adunay base64 nga gi-encode ug gipirmahan. Kung adunay makakuha sa JWT token ug hangyo, mahimo nilang i-update ang lawas sa HTTP Request. Ang HTTP Signatures nagtugot sa kliyente sa pagpirma sa HTTP Message. Busa, kadtong uban makahikap sa hangyo sa network.
Ang Amazon, Facebook, ug Google naggamit sa HTTP Signatures. Sa 2016, ang Pagpirma sa Mga Mensahe sa HTTP napraktis. Kini usa ka bag-ong trabaho sa pag-uswag nga detalye. Sama sa kini nga espesipikasyon, ang kaayohan sa pagpirma sa HTTP nga mensahe, alang sa katuyoan sa end-to-end nga integridad sa mensahe. Ang usa ka kliyente mahimong magpamatuod sa parehas nga mekanismo nga wala magkinahanglan daghang mga loop.
Pagsabot sa API Security Vulnerabilities
Ang OWASP mao ang kanunay nga ang go-to nga awtoridad sa labing kasagaran ug malimbungon nga mga isyu sa seguridad nga makita sa software nga among gigamit matag adlaw, ug kini tanan gipaluyohan sa daghang datos.
Kung adunay bisan unsang baseline kung diin ang mga organisasyon kinahanglan nga maningkamot, kini ang pagbuntog niini Ang OWASP API Security Top 10 nga gilista sa ubos.
OWASP API SECURITY TOP 1O
API1: Nabuak nga Antas sa Butang nga Awtorisasyon
API2: Naguba nga Pagpamatuod
API3: Sobra nga Data Exposure
API4: Kakulang sa Kapanguhaan ug Paglimite sa Rate
API5: Naguba nga Function Level Aut
API6: Asaynment sa Misa
API7: Sayup nga pag-configure sa Security
API8: Injection
API9: Dili Maayo nga Pagdumala sa Asset
API10: Dili igo nga Pag-log ug Pag-monitor
PINAKAMAAYO NGA MGA PRACTICE SA API SECURITY
Ania ang pipila sa labing kasagaran nga mga paagi aron mapaayo ang API Security:
- I-establisar ang imong mga kahuyangan.
Adunay kinahanglan nga ipadayon ang operating system, network, ug mga sangkap sa API nga na-update. Pangitaa ang mga depekto nga makapahimo sa mga tig-atake nga maka-access sa imong mga API. Ang mga sniffer nakamatikod sa mga isyu sa seguridad ug nagsubay sa mga pagtulo sa datos.
- Ibutang ang quota ug throttling.
Ibutang ang usa ka quota kung unsa ka subsob ang imong mga API nga motawag ug susihon ang paggamit sa kasaysayan. Ang sayop nga paggamit sa usa ka API kasagarang gipakita pinaagi sa pagtaas sa mga tawag.
- Gamit ug API gateway para makonektar sa imong API.
Ang mga gateway sa API mao ang nag-unang punto sa pagpatuman sa trapiko sa API. Magtugot kini kanimo sa pagkontrol ug pag-analisar kung giunsa ang imong mga API nga nagpamatuod.
- Gamit ug token.
Paghimo ug kasaligan nga mga identidad. Paggamit og mga token nga adunay mga identidad aron makontrol ang pag-access sa mga serbisyo ug mga kapanguhaan.
- Gamita ang Encryption ug digital signatures.
I-encrypt ang imong data gamit ang TLS. Gamita ang mga digital nga pirma aron mapamatud-an nga ang awtorisado nga mga indibidwal lang ang adunay access ug mag-edit sa datos.
- Pag-focus sa seguridad.
Ang mga API dili angay isipon nga sulagma. Ang mga organisasyon mawad-an og dako tungod sa pagkapakyas sa pag-secure sa mga API. Isip resulta, himoa nga prayoridad ang seguridad ug iapil kini sa imong mga API.
- I-validate ang input.
Ayaw gayud ipadala ang data ngadto sa usa ka endpoint pinaagi sa usa ka API nga walay pag-verify niini una.
- Gamita ang rate-limiting.
Ang paglimite unya sa mga hangyo makatabang sa pagpugong sa mga pag-atake sa denial-of-service.
- Paggamit ug lig-on nga authentication ug authorization system.
Kung dili ipatuman sa mga API ang pag-authenticate, mahitabo ang guba nga pag-authenticate.
Gamita ang mga teknolohiya sa pag-login ug pagtugot nga maayo na nga natukod, sama sa OAuth2.0 ug OpenID Connect.
