API 授权最佳实践

API(应用程序编程接口)就像秘密之门,允许不同的软件程序进行通信。但并不是每个人都应该拥有每扇门的钥匙,就像不是每个软件都应该不受限制地访问每个 API 一样。

这些 API 将从银行的移动应用程序到您最喜欢的社交媒体平台的所有内容连接起来,处理敏感数据并执行关键功能。

如果没有严格的授权协议,应用程序接口可能会被滥用,导致数据泄露、服务中断和用户信任度下降。

因此,这就是 API 授权发挥作用的地方。

API 授权就像一个守门员,确保只有拥有正确钥匙的正确软件才能打开大门,使用里面的资源。有效的 API 授权不仅仅是安全问题,它还能创造无缝、安全的用户体验。它确保授权应用程序只能访问个人信息,并且这些应用程序只能在其允许的范围内执行操作。

了解API授权

在讨论 API 授权最佳实践之前,我们必须了解两个经常被混淆的概念之间的区别:授权和验证。

身份验证就是验证身份。就像通过用户名、密码或生物识别技术确认用户身份一样。

授权则是在身份得到确认后,授予对资源或功能的访问权限。例如,如果身份验证是为了通过前门,那么授权则决定了用户可以访问大楼内的哪些房间和服务。

API授权最佳实践

既然您现在了解了 API 授权的重要性,那就让我们深入探讨一下如何充分利用它的最佳实践吧。

1.使用基于令牌的授权(JWT、OAuth 令牌)

基于令牌的授权,尤其是 JWT(JSON Web 令牌)和 OAuth 令牌,为管理 API 交互提供了一种安全高效的方式。例如

  • 令牌支持无状态身份验证,这意味着服务器不需要为每个用户维护会话状态,从而实现更好的可扩展性。
  • 令牌可以通过各种方式安全传输,并且比传统的基于会话的身份验证更不易受到 CSRF 攻击。
  • 令牌可以跨域使用,这使其成为微服务架构和单点登录 (SSO) 应用程序的理想选择。
  • 令牌(尤其是 OAuth 令牌)可以包含范围和权限,从而提供对经过身份验证的用户操作的精确控制。

如何使用 JWT 实现基于令牌的授权

JWT 通常在用户成功验证后生成。它们包含一个包含用户信息和可能的权限的有效载荷。您可以使用 Node.js 中的 jsonwebtoken 或 Python 中的 PyJWT 等库实现 JWT 授权。

首先,您需要生成 JWT 标记。下面是使用 PyJWT 的方法:

import jwtfrom datetime import datetime, timedeltasecret_key = 'YOUR_SECRET_KEY'payload = {    'sub': user_id,    'iat': datetime.utcnow(),    'exp': datetime.utcnow() + timedelta(days=1)}token = jwt.encode(payload, secret_key, algorithm='HS256')

然后,需要对每个请求进行验证,以确定用户是否被允许执行请求。令牌通常会在每个请求的授权头中发送。服务器可以使用秘钥解码 JWT 并进行验证。如果有效,服务器就会处理请求;如果无效,服务器就会返回错误信息。

from flask import Flask, request, jsonifyimport jwtimport datetimeapp = Flask(name)SECRET_KEY = "your_secret_key"  # Replace with your secret keySample route that requires token-based authorization@app.route('/protected', methods=['GET'])def protected():    token = request.headers.get('Authorization')    if not token:        return jsonify({'message': 'Token is missing!'}), 403    try:        # Decoding the token        data = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])        # You can use the data in the token as needed, for example:        # user_id = data['user_id']    except jwt.ExpiredSignatureError:        return jsonify({'message': 'Token has expired!'}), 403    except jwt.InvalidTokenError:        return jsonify({'message': 'Invalid token!'}), 403    # Token is valid, process the request    return jsonify({'message': 'Token is valid! You have access to protected routes.'})

2.实施细粒度访问控制

细粒度访问控制是一种安全管理方法,可对应用程序的权限和访问权进行详细控制。它能确保用户或服务只拥有所需的访问权限,并遵循最小特权原则。

如何实施细粒度访问控制:

实施精细度访问控制涉及几个步骤:

  • 定义角色和权限:识别系统中不同的用户角色并定义每个角色的具体操作。
  • 使用基于角色的访问控制 (RBAC):实施 RBAC,根据角色授予资源访问权限。每个角色都被分配了特定的权限。
  • 考虑基于属性的访问控制 (ABAC):对于更复杂的场景,可以使用 ABAC,其中访问决策基于属性(用户、资源、环境)的组合。

例如,如果您有一个 API,其中管理员用户的访问权限不同。您可以使用可在应用程序中重复使用的独立组件来实现访问控制机制。

您所要做的就是:

首先,创建一个名为 “authorizer “的 Node.js 组件,让您可以使用命令来实现验证逻辑:

bit create node util/authorizer

如果操作正确,就会看到输出结果:

接下来,实现授权逻辑:

export function authorizer(userId: string) { // Implement logic to retrieve the user's role if (userId === 'U001') {   return "admin"; } return "customer"}

接下来,使用命令创建一个 Express App:

bit create express-app api

您将看到输出结果:

接下来,让我们通过更新 mock-route.ts 将授权器连接到应用程序。一开始,你会看到这样的内容

让我们添加一个新的中间件:

这将确保您的授权器组件在调用实际业务逻辑之前运行。运行 API 后,您应该会看到以下输出:

通过函数链,我们实现了基于角色的访问控制。装饰器会检查用户的角色是否符合端点所需的角色。如果不匹配,则返回拒绝访问消息。

当你不断更新授权逻辑和更新应用程序时,比特的 CI 服务器–Ripple CI 会自动更新整个树中的更改。

3. 安全API网关配置

API 网关是所有 API 请求的前门,为执行安全和操作策略提供了一个集中的场所。例如,API 网关可帮助您实现以下功能

  • 增强的安全性:提供额外的安全层,防止 DDoS 攻击、未经授权的访问和 API 滥用等威胁。
  • 速率限制和节流:防止 API 过度使用并确保用户之间的公平使用。
  • 数据转换和验证:确保传入数据符合预期的格式和标准。

如何实施安全 API 网关配置:

您可以为自己的应用程序选择多种 API Gateway 提供商。例如,亚马逊 API Gateway、Kong 和谷歌 Apigee 都是最受欢迎的 API Gateway 平台。

如果您计划使用 AWS,可以按照其文档中的步骤轻松创建 API 网关。不过,您还需要启用一些额外的功能,以确保 API 网关的安全和高效。

  • 设置速率限制— 在 AWS 管理控制台中,导航到 Amazon API Gateway,选择您的 API,然后转到保护选项卡下的限制部分。在那里,您可以设置速率和突发限制。

  • 启用 SSL/TLS — 确保 API Gateway 的自定义域名与 AWS Certificate Manager 中的 SSL/TLS 证书关联。
  • 实施 IP 限制— 使用 AWS Lambda 授权方验证传入请求的 IP 地址。部署该功能后,您可以通过在授权选项卡中为 API 网关创建新的授权者来选择该功能。以下是 Python 中用于限制 IP 的示例 Lambda 函数:
import jsondef lambda_handler(event, context):    ip_address = event['requestContext']['identity']['sourceIp']    allowed_ips = ['192.168.1.1']  # List of allowed IPs    # Add logic here to check if the ip_address is in allowed_ips or not    if ip_address not in allowed_ips:        raise Exception('Unauthorized')    return {        'principalId': 'user',        'policyDocument': {            'Version': '2012-10-17',            'Statement': [{                'Action': 'execute-api:Invoke',                'Effect': 'Allow',                'Resource': event['methodArn']            }]        }    }
  • 启用 CloudWatch Logs — 在 AWS 管理控制台中,转到 API 网关的设置。在CloudWatch 设置部分中,选中启用CloudWatch Log选项。将日志级别设置为INFO以记录所有请求和响应,或将日志级别设置为ERROR以仅记录错误响应。

4. 加密传输中和静态的敏感数据

对传输中和静态的敏感数据进行加密是保护数据免遭未经授权的访问和泄露的基本安全实践。传输中加密可保护数据在客户端和服务器之间移动时的安全,而静态加密则可保护存储在磁盘或数据库上的数据。

如何在传输中实施加密

如果使用自己的网络服务器,则必须手动设置和管理 SSL/TLS 证书。首先,需要从可信的证书颁发机构(CA)获取证书,如 Let’s Encrypt、DigiCert、GoDaddy 等。然后,配置服务器以使用 CA。例如,下面是如何使用 Nginx 配置 SSL:

  • 修改 Nginx 配置文件(通常位于/etc/nginx/nginx.conf或/etc/nginx/sites-available/your_site)。
  • 在服务器块中添加 SSL 设置:
server {    listen 443 ssl;    server_name yourdomain.com;    ssl_certificate /path/to/your/fullchain.pem; # Path to your fullchain.pem from CA    ssl_certificate_key /path/to/your/privkey.pem; # Path to your private key from CA    # Strong encryption settings (consider using recommendations from Mozilla's SSL Configuration Generator)    ssl_protocols TLSv1.2 TLSv1.3;    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256...';        # Other server configurations...}

如果你使用的是云服务,它们会为处理 SSL/TLS 提供完全托管的服务。例如,您可以使用 AWS 证书管理器来管理 AWS 托管的服务。

如何实施静态加密

您可以在数据库级别、应用程序级别或使用基于云的工具实施静态加密。

  • 数据库级加密:许多现代数据库提供内置加密功能。例如:
  • SQL Server:透明数据加密。
  • MySQL:InnoDB 表空间加密。
  • MongoDB:加密存储引擎。
  • 应用程序级加密:应用程序级加密应用于高敏感数据,甚至在存储到数据库之前对其进行加密。您可以使用密码学等库来实现此目的:
from cryptography.fernet import Fernet# Generate a keykey = Fernet.generate_key()cipher_suite = Fernet(key)# Encrypt dataencrypted_data = cipher_suite.encrypt(b"Sensitive Data")# Decrypt datadecrypted_data = cipher_suite.decrypt(encrypted_data)

最后的想法

强大的应用程序接口授权对于确保数字资产安全和维护用户信任至关重要。

通过实施本文讨论的最佳实践,开发人员可以显著增强应用程序的 API 安全性,同时确保合规性并防范各种网络威胁。

原文链接:Best-Practices for API Authorization

编译:幂简集成

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/769068.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

嵌入式C语言中指针与链表的关系详解

假定给你一块非常小的内存,这块内存只有8字节,这里也没有高级语言,没有操作系统,你操作的数据单位是单个字节,你该怎样读写这块内存呢? 注意这里的限定,再读一遍,没有高级语言,没有操作系统,在这样的限制之下,你必须直面内存读写的本质。 这个本质是什么呢? 本质…

Vuex的基本使用

1.安装vuex npm i vuex3 2.引入 import Vuex from vuex 3.使用 Vue.use(Vuex) 4.在src下的目录创建store,新建index.js import store from ./store 5.编写index.js import Vue from vue import Vuex from vuex Vue.use(Vuex)//用于操作组件中的动作 const actions{a…

Linux安装Node-RED并实现后台运行及开机启动

首先确保系统中已近成功安装Node.js,并保证需要的合适版本: 关于node.js的安装可以参考我的另一篇博文:《AliyunOS安装Node.js》。 然后就可以使用npm工具安装Node-RED了,很简单使用如下命令: sudo npm install -g --unsafe-per…

antd Select前端加模糊搜索

背景&#xff1a;前端的小伙伴经常在开发antd Select的时候后端不提供搜索模糊搜索接口&#xff0c;而是全量返回数据&#xff0c;这个时候就需要我们前端自己来写一个模糊搜索了。 效果 代码截图 代码 <SelectshowSearchmode"multiple"options{studioList}filte…

视频分析、目标检测的过去和未来:目标检测从入门到精通 ------ YOLOv8 到 多模态大模型处理视觉基础任务

文章大纲 计算机视觉项目的关键步骤目标检测入门视频分析项目最佳实践数据集构建数据准备:数据集标注规范与数据规模参考标注工具标注工具:目标检测yolo 极简标注工具综合标注工具:label-studio半自动标注工具:X-AnyLabeling目标检测与多模态哪些多模态模型可以做目标检测?…

构建安全稳定的应用:Spring Security 实用指南

前言 在现代 Web 应用程序中&#xff0c;安全性是至关重要的一个方面。Spring Security 作为一个功能强大且广泛使用的安全框架&#xff0c;为 Java 应用程序提供了全面的安全解决方案。本文将深入介绍 Spring Security 的基本概念、核心功能以及如何在应用程序中使用它来实现…

招聘应聘,HR如何测试候选人的领导能力?

作为企业的HR&#xff0c; 如何通过测评的方式来了解一个人的领导能力&#xff1f; 这里仅仅是说测评的方式&#xff0c;除此以外&#xff0c;还有很多方式&#xff0c;比如&#xff1a;背景调查&#xff0c;无领导小组讨论等等..... 对于一个人的领导能力测试&#xff0c;主要…

网页报错dns_probe_possible 怎么办?——错误代码有效修复

当你在浏览网页时遇到dns_probe_possible 错误&#xff0c;这通常意味着你的浏览器无法解析域名系统&#xff08;DNS&#xff09;地址。这个问题可能是由多种原因引起的&#xff0c;包括网络配置问题、DNS服务问题、或是本地设备的问题。教大家几种修复网页报错dns_probe_possi…

ctfshow-xss(web316-web330)

讲解相当细致 精致练习XSS web316 这道题估计陆陆续续弄了半天 因为xss可以说基本不会 还好最终彻彻底底明白了 首先这道题是反射性xss 也就是必须点击某一个xss链接 才能达到xss效果 这道题的意思就是 写一个祝福语生成链接发送给朋友 这个祝福语的位置就是我们实现XSS的位…

GPT-4预测股票涨跌更更更准了!东京大学新框架LLMFactor提升显著 | ACL 2024

花一秒钟就看透事物本质的人&#xff0c;和花一辈子都看不清的人&#xff0c;注定是截然不同的命运。——唐柯里昂 除了少数天纵奇才&#xff0c;大多数人都是通过知识和阅历的不断积累&#xff0c;才逐渐锻炼出观察和判断事物变化规律的能力。而如果说有一件事&#xff0c;可以…

代码便利工具

【原创】PyCharm 安装MarkDown插件&#xff0c;并修改.md文件默认打开方式_pycharm如何修改markdown-CSDN博客 1.上面是填写README的工具。

DeepFaceLive----AI换脸简单使用

非常强大的软件,官方github https://github.com/iperov/DeepFaceLive 百度云链接: 链接&#xff1a;https://pan.baidu.com/s/1VHY-wxqJXSh5lCn1c4whZg 提取码&#xff1a;nhev 1下载解压软件 下载完成后双击.exe文件进行解压.完成后双击.bat文件打开软件 2 视频使用图片换…

JAVA+SSM+VUE《病人跟踪治疗信息管理系统》

1病人功能模块 病人登录进入病人跟踪治疗信息管理系统可以查看首页、个人中心、病例采集管理、预约管理、医生管理、上传核酸检测报告管理、上传行动轨迹管理、病人治疗状况管理等内容。 病例采集管理&#xff0c;在病例采集管理页面可以查看账号、姓名、住院号、入院时间、病…

2024鲲鹏昇腾创新大赛集训营Ascend C算子学习笔记

异构计算架构&#xff08;CANN&#xff09; 对标英伟达的CUDA CuDNN的核心软件层&#xff0c;向上支持多种AI框架&#xff0c;向下服务AI处理器&#xff0c;发挥承上启下的关键作用&#xff0c;是提升昇腾AI处理器计算效率的关键平台。主要包括有各种引擎、编译器、执行器、算…

[leetcode hot 150]第三题,无重复字符的最长子串

题目&#xff1a; 给定一个字符串 s &#xff0c;请你找出其中不含有重复字符的 最长 子串的长度。 可以使用"滑动窗口"的方法来解决这个问题。基本思路如下: 使用两个指针(start和end)来定义一个窗口移动end指针来扩大窗口,直到遇到重复字符如果遇到重复字符,移动s…

Spring源码九:BeanFactoryPostProcessor

上一篇Spring源码八&#xff1a;容器扩展一&#xff0c;我们看到ApplicationContext容器通过refresh方法中的prepareBeanFactory方法对BeanFactory扩展的一些功能点&#xff0c;包括对SPEL语句的支持、添加属性编辑器的注册器扩展解决Bean属性只能定义基础变量的问题、以及一些…

每周题解:最大半连通子图

题目链接 最大半连通子图 题目描述 一个有向图 G ( V , E ) G\left(V,E\right) G(V,E) 称为半连通的 (Semi-Connected)&#xff0c;如果满足&#xff1a; ∀ u , v ∈ V \forall u,v\in V ∀u,v∈V&#xff0c;满足 u → v u\to v u→v 或 v → u v\to u v→u&#xff0…

Go语言实现钉钉机器人接入Dify工作流

go语言实现实现钉钉机器人接入dify工作流&#xff0c;完成ai 流式问答 代码地址 有用的话点个star github地址 效果 配置使用 修改.env_template文件 为.env 设置.env文件内的环境变量 API_KEY: dify的api_keyAPI_URL: dify 的api接口CLIENT_ID : 钉钉机器人应用的idCLIENT…

基于Java的家政预约系统设计与实现

作者介绍&#xff1a;计算机专业研究生&#xff0c;现企业打工人&#xff0c;从事Java全栈开发 主要内容&#xff1a;技术学习笔记、Java实战项目、项目问题解决记录、AI、简历模板、简历指导、技术交流、论文交流&#xff08;SCI论文两篇&#xff09; 上点关注下点赞 生活越过…

Docker-compose 实现Prometheus+Grafana监控MySQL及Linux主机

. ├── Grafana │ ├── data │ └── docker-compose.yaml ├── Mysql │ ├── conf │ ├── data │ ├── docker-compose.yaml │ └── logs ├── Mysqld_exporter │ ├── conf │ └── docker-compose.yaml ├── node-exporter │…