个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我正在构建一个应用程序,我需要在客户端前端应用程序中向外部 API 发出请求,但我对如何最大限度地确保安全以便只有有效请求感到困惑可以转发到这个外部 API 而不是任何人想要的。
作为安全的第一步,我已经做到客户端应用程序不能直接与外部 API 对话,而是必须访问我们自己的服务器端 API,然后服务器端 API 将请求代理到外部 API,以便访问外部 API 的凭据至少仅存储在服务器端而不是客户端。
然而,这导致了相同的基本问题 - 我如何保护我用来验证从客户端应用程序向我们自己的服务器端应用程序发出的请求的任何凭证/身份验证系统?
问题是这是一个在线餐厅订购服务,所以我们不希望用户在能够下订单之前使用用户名和密码来验证自己,因此下订单会触发外部 API 调用,不受任何用户名/密码方案的限制,并且必须可供前端应用的所有消费者使用。
这里的最佳安全实践是什么?我已启用 CORS 白名单作为最低限度的做法,这样理论上我们的服务器端 API 端点只允许来 self 们自己的域的请求,但如果有人选择仅欺骗原始 URL,则可以轻松绕过 CORS。
还有哪些其他选项可用?我敢肯定,我一定只是遗漏了一些微不足道的东西,因为这一定是既定最佳实践中一个非常普遍的问题,但我只是不知何故没能找到它。
谢谢!
最佳答案
作为 API 和移动安全的开发者倡导者,看到一个真正关心他们的应用程序安全的开发者总是让我微笑,尤其是当他们已经表现出一些努力来保护它时,因此请接受我对你的努力的祝贺。
I'm building an application where I need to make a request in the client-side frontend app to an external API, and I'm at a bit of a loss for how to make this maximally secure so that only valid requests can be forwarded to this external API and not whatever anyone wants.
因此,您没有详细说明它是 Web 应用程序还是移动应用程序,一旦我的专业知识依赖于移动和 API 安全性,我将假设是移动应用程序来回答。
The issue is this is an online restaurant ordering service, and so we don't expect users to authenticate themselves with say, usernames and passwords before being able to place orders necessarily, and so order placement, which triggers the external API call, isn't gated behind any username/password scheme, and must be available to all consumers of the frontend app.
你有一个复杂的挑战要解决,因为你有一个向公众开放的应用程序,没有任何类型的用户身份验证/身份验证,但这需要访问下划线资源的规则,就像它在用户身份验证后面一样和授权,但即使是,它仍然容易被滥用。
为了理解为什么我需要澄清一个误解,这个误解通常是我在任何资历的开发人员中发现的,即关于访问 API 服务器的谁 和什么 之间的区别.
我写了一系列关于 API 和移动安全的文章,在文章 Why Does Your Mobile App Need An Api Key? 中,您可以详细阅读谁和什么正在访问您的 API 服务器之间的区别, 但我将在这里提取主要内容:
The what is the thing making the request to the API server. Is it really a genuine instance of your mobile app, or is it a bot, an automated script or an attacker manually poking around your API server with a tool like Postman?
The who is the user of the mobile app that we can authenticate, authorize and identify in several ways, like using OpenID Connect or OAUTH2 flows.
将谁想象成您的 API 服务器将能够验证和授权访问数据的用户,并将什么想象成发出该请求的软件代表用户。
因此,在您的情况下,您无法识别请求中的谁,因此您需要一个能够让 API 后端高度相信请求确实来自的解决方案它所期望的,您的应用程序的真实且未修改的实例。
I'm building an application where I need to make a request in the client-side frontend app to an external API, and I'm at a bit of a loss for how to make this maximally secure so that only valid requests can be forwarded to this external API and not whatever anyone wants.
这需要非常先进的解决方案才能妥善保护,因此实现起来并不像您想象的那么简单:
I'm sure I must just be missing something trivial, since this must be an extraordinarily common issue with an established best practice, but I'm just somehow failing to find it.
是的,这是一个经常被忽视或没有得到妥善解决的常见问题,解决它的第一步是清楚地了解谁与什么<之间的区别/strong> 在请求中,否则设计的解决方案将无法正确解决问题。
在这里,我建议您阅读 this answer 我提出的问题如何为移动应用程序保护 API REST?,尤其是加固和屏蔽移动应用程序部分、保护 API 服务器和可能更好的解决方案。
此答案将向您展示多种解决方案,例如 WAF 和 UBA,但最后建议使用移动应用认证概念。
简而言之,移动应用证明将使 API 后端高度确信请求确实来自它所期望的,移动应用的真实和修改实例。
您可以学习一些有用的技术来帮助您的 API 后端尝试仅响应来自您期望的的请求,您的真正的网络应用程序,为此我邀请您阅读 my answer 以保护 api 数据免受应用外调用 的问题,尤其是专门用于保护 API 服务器的部分。
在任何对安全问题的回答中,我总是喜欢引用 OWASP 基金会的出色工作。
The OWASP API Security Project seeks to provide value to software developers and security assessors by underscoring the potential risks in insecure APIs, and illustrating how these risks may be mitigated. In order to facilitate this goal, the OWASP API Security Project will create and maintain a Top 10 API Security Risks document, as well as a documentation portal for best practices when creating or assessing APIs.
OWASP Mobile Security Project - Top 10 risks
The OWASP Mobile Security Project is a centralized resource intended to give developers and security teams the resources they need to build and maintain secure mobile applications. Through the project, our goal is to classify mobile security risks and provide developmental controls to reduce their impact or likelihood of exploitation.
OWASP - Mobile Security Testing Guide :
The Mobile Security Testing Guide (MSTG) is a comprehensive manual for mobile app security development, testing and reverse engineering.
The Web Security Testing Guide :
The OWASP Web Security Testing Guide includes a "best practice" penetration testing framework which users can implement in their own organizations and a "low level" penetration testing guide that describes techniques for testing most common web application and web service security issues.
关于rest - 保护对 API 端点的客户端调用的最佳实践,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/66848604/
25
4
0
为了让我的代码几乎完全用 Jquery 编写,我想用 Jquery 重写 AJAX 调用。 这是从网页到 Tomcat servlet 的调用。 我目前情况的类似代码: var http = new
我想使用 JNI 从 Java 调用 C 函数。在 C 函数中,我想创建一个 JVM 并调用一些 Java 对象。当我尝试创建 JVM 时,JNI_CreateJavaVM 返回 -1。 所以,我想知
环顾四周,我发现从 HTML 调用 Javascript 函数的最佳方法是将函数本身放在 HTML 中,而不是外部 Javascript 文件。所以我一直在网上四处寻找,找到了一些简短的教程,我可以根
我有这个组件: import {Component} from 'angular2/core'; import {UserServices} from '../services/UserService
我正在尝试用 C 实现一个简单的 OpenSSL 客户端/服务器模型,并且对 BIO_* 调用的使用感到好奇,与原始 SSL_* 调用相比,它允许一些不错的功能。 我对此比较陌生,所以我可能会完全错误
我正在处理有关异步调用的难题: 一个 JQuery 函数在用户点击时执行,然后调用一个 php 文件来检查用户输入是否与数据库中已有的信息重叠。如果是这样,则应提示用户确认是否要继续或取消,如果他单击
我有以下类(class)。 public Task { public static Task getInstance(String taskName) { return new
嘿,我正在构建一个小游戏,我正在通过制作一个数字 vector 来创建关卡,该数字 vector 通过枚举与 1-4 种颜色相关联。问题是循环(在 Simon::loadChallenge 中)我将颜
我有一个java spring boot api(数据接收器),客户端调用它来保存一些数据。一旦我完成了数据的持久化,我想进行另一个 api 调用(应该处理持久化的数据 - 数据聚合器),它应该自行异
首先,这涉及桌面应用程序而不是 ASP .Net 应用程序。 我已经为我的项目添加了一个 Web 引用,并构建了各种数据对象,例如 PayerInfo、Address 和 CreditCard。但问题
我如何告诉 FAKE 编译 .fs文件使用 fsc ? 解释如何传递参数的奖励积分,如 -a和 -target:dll . 编辑:我应该澄清一下,我正在尝试在没有 MSBuild/xbuild/.sl
我使用下划线模板配置了一个简单的主干模型和 View 。两个单独的 API 使用完全相同的配置。 API 1 按预期工作。 要重现该问题,请注释掉 API 1 的 URL,并取消注释 API 2 的
我不确定什么是更好的做法或更现实的做法。我希望从头开始创建目录系统,但不确定最佳方法是什么。 我想我在需要显示信息时使用对象,例如 info.php?id=100。有这样的代码用于显示 Game.cl
from datetime import timedelta class A: def __abs__(self): return -self class B1(A):
我在操作此生命游戏示例代码中的数组时遇到问题。 情况: “生命游戏”是约翰·康威发明的一种细胞自动化技术。它由一个细胞网格组成,这些细胞可以根据数学规则生存/死亡/繁殖。该网格中的活细胞和死细胞通过
如果我像这样调用 read() 来读取文件: unsigned char buf[512]; memset(buf, 0, sizeof(unsigned char) * 512); int fd;
我用 C 编写了一个简单的服务器,并希望调用它的功能与调用其他 C 守护程序的功能相同(例如使用 ./ftpd start 调用它并使用 ./ftpd stop 关闭该实例)。显然我遇到的问题是我不知
在 dos 中,当我粘贴此命令时它会起作用: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" https://google.
在 dos 中,当我粘贴此命令时它会起作用: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" https://google.
我希望能够从 cmd 在我的 Windows 10 计算机上调用 python3。 我已重新安装 Python3.7 以确保选择“添加到路径”选项,但仍无法调用 python3 并使 CMD 启动 P
我是一名优秀的程序员,十分优秀!