Publié le

Comment concevoir un accès sécurisé à l'API web pour votre site web ?

Auteurs

Lorsque nous autorisons les utilisateurs à accéder à l'API web, nous devons nous assurer que chaque requête API est vérifiée. Cela signifie que nous devons confirmer que l'utilisateur est bien celui qu'il prétend être.

Image

Dans cet article, nous examinons deux méthodes courantes pour sécuriser l'accès aux API :

  1. Authentification basée sur jeton

  2. Authentification HMAC (Hash-based Message Authentication Code)

Le diagramme ci-dessous montre comment chaque méthode fonctionne.

Authentification basée sur jeton

  1. L'utilisateur saisit son mot de passe sur le client, qui l'envoie au serveur d'authentification.

  2. Le serveur vérifie le mot de passe et crée un jeton avec une durée de validité.

  3. Le client peut désormais utiliser ce jeton dans l'en-tête HTTP pour envoyer des requêtes au serveur.

  4. Le jeton reste valide jusqu'à son expiration, permettant l'accès aux ressources du serveur.

Authentification basée sur HMAC

  1. Le serveur génère deux clés : une clé publique (Public APP ID) et une clé privée (API Key).

  2. Du côté du client, une signature (HMAC) est créée à l'aide de ces clés et de certains attributs répertoriés dans le diagramme.

  3. Le client envoie des requêtes au serveur avec cette signature HMAC dans l'en-tête HTTP.

  4. Le serveur reçoit la requête, extrait les attributs et génère sa propre signature (HMAC B) à l'aide de la clé API stockée.

  5. Le serveur compare HMAC A (du client) et HMAC B (du serveur). Si elles correspondent, le serveur répond à la requête.

Question : Comment HMAC assure-t-il l'intégrité des données ? Pourquoi incluons-nous la « date et l'heure de la requête » dans l'HMAC ?

Réponse : HMAC assure l'intégrité des données en créant une signature unique basée sur les données de la requête et les clés, de sorte que si des données sont modifiées, la signature ne correspondra pas. L'inclusion de la « date et l'heure de la requête » aide à prévenir les attaques de répétition (requêtes anciennes réutilisées), car les signatures ne sont valables que pour une période de temps spécifique.

Veuillez noter que la version française est assistée par Ai, des erreurs mineures peuvent donc exister.

Auteur

AiUTOMATING PEOPLE, ABN ASIA a été fondée par des personnes ayant des racines profondes dans le milieu académique, avec une expérience professionnelle aux États-Unis, aux Pays-Bas, en Hongrie, au Japon, en Corée du Sud, à Singapour et au Vietnam. ABN ASIA est l'endroit où l'académie et la technologie rencontrent l'opportunité. Avec nos solutions de pointe et nos services de développement logiciel compétents, nous aidons les entreprises à se développer et à s'imposer sur la scène mondiale. Notre engagement : Plus vite. Mieux. Plus fiable. Dans la plupart des cas : moins cher également.

N'hésitez pas à nous contacter chaque fois que vous avez besoin de services informatiques, de conseils en matière de numérique, de solutions logicielles prêtes à l'emploi, ou si vous souhaitez nous envoyer des demandes de propositions (RFP). Vous pouvez nous contacter à l'adresse [email protected]. Nous sommes prêts à vous aider avec tous vos besoins technologiques.

ABNAsia.org

© ABN ASIA

AbnAsia.org Software

Discuter sur TwitterVoir sur GitHub

Partager: