Wie entwirft man einen sicheren Web-API-Zugriff für Ihre Website?

Wenn wir Benutzern den Zugriff auf die Web-API ermöglichen, müssen wir sicherstellen, dass jede API-Anfrage verifiziert wird. Das bedeutet, dass wir bestätigen müssen, dass der Benutzer tatsächlich der ist, den er vorgibt.

In diesem Beitrag betrachten wir zwei gängige Methoden, um den Zugriff auf APIs zu sichern:

1. Token-basierte Authentifizierung

2. HMAC (Hash-basierte Nachrichtenauthentifizierungscodes) Authentifizierung

Das folgende Diagramm zeigt, wie jede Methode funktioniert.

Token-basierte Authentifizierung

1. Der Benutzer gibt sein Passwort auf dem Client ein, der es an den Authentifizierungsserver sendet.

2. Der Server überprüft das Passwort und erstellt ein Token mit einer Ablaufzeit.

3. Der Client kann nun dieses Token im HTTP-Header verwenden, um Anfragen an den Server zu senden.

4. Das Token bleibt gültig, bis es abläuft, und ermöglicht den Zugriff auf die Server-Ressourcen.

HMAC-basierte Authentifizierung

1. Der Server generiert zwei Schlüssel: einen öffentlichen Schlüssel (Public APP ID) und einen privaten Schlüssel (API Key).

2. Auf der Client-Seite wird eine Signatur (HMAC) erstellt, die diese Schlüssel und bestimmte Attribute verwendet, die im Diagramm aufgeführt sind.

3. Der Client sendet Anfragen an den Server mit dieser HMAC-Signatur im HTTP-Header.

4. Der Server erhält die Anfrage, extrahiert die Attribute und generiert seine eigene Signatur (HMAC B) mithilfe des gespeicherten API Keys.

5. Der Server vergleicht HMAC A (vom Client) und HMAC B (vom Server). Wenn sie übereinstimmen, reagiert der Server auf die Anfrage.

Frage: Wie stellt HMAC die Datenintegrität sicher? Warum fügen wir die „Anfragezeitstempel in die HMAC ein?

Antwort: HMAC stellt die Datenintegrität sicher, indem eine eindeutige Signatur auf der Grundlage der Anfragedaten und Schlüssel erstellt wird, sodass bei Änderung der Daten die Signatur nicht übereinstimmt. Die Einbeziehung des „Anfragezeitstempels hilft, Replay-Angriffe (alte Anfragen werden wiederverwendet) zu verhindern, da Signaturen nur für einen bestimmten Zeitraum gültig sind.

Bitte beachten Sie, dass die deutsche Version von Ai unterstützt wird und daher geringfügige Fehler auftreten können.

AUTOR

Über ABN Asia: Ai Base Network (ABN), ABN Asia wurde im Jahr 2012 gegründet und ist ein Unternehmen mit akademischem Hintergrund, das von Lehrkräften und ehemaligen Studierenden aus Ungarn, den Niederlanden, Russland, Deutschland und Japan gegründet wurde. Wir teilen eine gemeinsame Leidenschaft und eine klare Vision für Technologie, die Innovation und erstklassige Qualität für unsere Kunden bringt. Unser Motto lautet: Besser. Schneller. Sicherer. In vielen Fällen: Günstiger.

Zögern Sie nicht, uns zu kontaktieren, wenn Sie IT-Dienstleistungen, digitale Beratung, Standardsoftwarelösungen benötigen oder uns Angebotsanfragen (RFPs) senden möchten. Sie können uns unter [email protected] kontaktieren. Wir sind bereit, Ihnen bei all Ihren Technologiebedürfnissen zu helfen.

© ABN ASIA