OATH API-ийн шилдэг эмзэг байдал
OATH API-ийн шилдэг эмзэг байдал: Танилцуулга
Ашиглалтын тухайд API нь эхлэх хамгийн тохиромжтой газар юм. API хандалт нь ихэвчлэн гурван хэсгээс бүрдэнэ. Үйлчлүүлэгчид API-тай зэрэгцэн ажилладаг Зөвшөөрлийн серверээс жетон олгодог. API нь үйлчлүүлэгчээс хандалтын токенуудыг хүлээн авч, тэдгээрт тулгуурлан домэйны тусгай зөвшөөрлийн дүрмийг хэрэгжүүлдэг.
Орчин үеийн програм хангамжийн програмууд нь янз бүрийн аюулд өртөмтгий байдаг. Хамгийн сүүлийн үеийн мөлжлөгүүд болон аюулгүй байдлын алдаануудыг хурдасгах; Эдгээр эмзэг байдлын шалгуур үзүүлэлттэй байх нь халдлага болохоос өмнө програмын аюулгүй байдлыг хангахад чухал ач холбогдолтой. Гуравдагч талын програмууд OAuth протоколд улам бүр найдаж байна. Энэхүү технологийн ачаар хэрэглэгчид илүү сайн хэрэглэгчийн туршлага, мөн илүү хурдан нэвтэрч, зөвшөөрөл авах болно. Хэрэглэгчид өгөгдсөн эх сурвалжид хандахын тулд гуравдагч талын программ ашиглан итгэмжлэлээ задруулах шаардлагагүй тул энэ нь ердийн зөвшөөрлөөс илүү аюулгүй байж болох юм. Протокол нь өөрөө аюулгүй бөгөөд найдвартай боловч түүнийг хэрэгжүүлэх арга зам нь таныг халдлагад нээлттэй болгож болзошгүй юм.
API-г зохион бүтээх, байршуулахдаа энэ нийтлэл нь ердийн OAuth-ийн эмзэг байдал, түүнчлэн аюулгүй байдлын янз бүрийн арга хэмжээг авч үздэг.
Эвдэрсэн объектын түвшний зөвшөөрөл
API нь объектуудад хандах боломжийг олгодог тул зөвшөөрөл зөрчигдсөн тохиолдолд халдлагын өргөн цар хүрээтэй байдаг. API-д хандах боломжтой зүйлсийг баталгаажуулсан байх ёстой тул энэ нь зайлшгүй шаардлагатай. API гарцыг ашиглан объектын түвшний зөвшөөрлийн шалгалтыг хэрэгжүүлэх. Зөвхөн зохих зөвшөөрлийн үнэмлэхтэй хүмүүст хандахыг зөвшөөрөх ёстой.
Хэрэглэгчийн баталгаажуулалт эвдэрсэн
Зөвшөөрөгдөөгүй токенууд нь халдагчид API-д хандах бас нэг түгээмэл арга юм. Баталгаажуулалтын систем хакердсан эсвэл API түлхүүр андуурч ил гарсан байж болзошгүй. Баталгаажуулах токенууд байж болно хакерууд ашигладаг хандалтыг олж авах. Зөвхөн итгэж болохуйц хүмүүсийг баталгаажуулж, хүчтэй нууц үг ашиглана уу. OAuth-ийн тусламжтайгаар та зөвхөн API түлхүүрээс илүү гарч, өгөгдөлдөө хандах боломжтой. Та ямар нэгэн газар яаж орж гарахаа үргэлж бодох хэрэгтэй. OAuth MTLS Sender Constrained Tokens-ийг Mutual TLS-тэй хамтад нь үйлчлүүлэгчид бусад машин руу нэвтрэх үед буруу үйлдэл хийж, буруу тал руу жетон дамжуулахгүй байх баталгааг өгч болно.
API сурталчилгаа:
Өгөгдлийн хэт их өртөлт
Нийтлэх боломжтой төгсгөлийн цэгүүдийн тоонд хязгаарлалт байхгүй. Ихэнх тохиолдолд бүх функцийг бүх хэрэглэгчид ашиглах боломжгүй байдаг. Шаардлагатай хэмжээнээс илүү их мэдээллийг ил болгосноор та өөрийгөө болон бусдад аюул учруулна. Мэдрэмжтэй байдлыг задруулахаас зайлсхий мэдээлэл зайлшгүй шаардлагатай болтол. Хөгжүүлэгчид OAuth Scopes болон Claims-ийг ашиглан хэн юунд хандах боломжтойг тодорхойлж болно. Нэхэмжлэлд хэрэглэгч өгөгдлийн аль хэсэгт хандах боломжтойг зааж өгч болно. Бүх API-ийн стандарт бүтцийг ашиглан хандалтын хяналтыг удирдахад хялбар, хялбар болгож болно.
Нөөцийн хомсдол ба ханшийн хязгаарлалт
Хар малгайтнууд ихэвчлэн үйлчилгээнээс татгалзах (DoS) халдлагыг серверийг дарангуйлж, ажиллах хугацааг нь тэг болгон багасгахын тулд ашигладаг. Дуудаж болох нөөцөд ямар ч хязгаарлалт байхгүй бол API нь сулруулж буй халдлагад өртөмтгий байдаг. "API гарц эсвэл удирдлагын хэрэгсэл ашиглан API-д тарифын хязгаарлалт тавьж болно. Шүүлтүүр, хуудаслалт, хариултыг хязгаарласан байх ёстой.
Хамгаалалтын системийн буруу тохиргоо
Аюулгүй байдлын өөр өөр тохиргооны удирдамжууд нь аюулгүй байдлын буруу тохируулга гарах магадлал өндөр байдаг тул нэлээд өргөн хүрээтэй байдаг. Хэд хэдэн жижиг зүйл таны платформын аюулгүй байдалд аюул учруулж болзошгүй. Далд зорилготой хар малгайтнууд алдаатай асуулгад хариу илгээсэн нууц мэдээллийг олж мэдэх боломжтой.
Масс даалгавар
Төгсгөлийн цэг нь нийтэд тодорхойлогдоогүй байгаа нь хөгжүүлэгчид түүнд хандах боломжгүй гэсэн үг биш юм. Нууц API-г хакерууд амархан саатуулж, урвуу инженерчилж болно. "Хувийн" API дээр нээлттэй Bearer Token ашигладаг энэхүү үндсэн жишээг харна уу. Нөгөөтэйгүүр, нийтийн бичиг баримт нь зөвхөн хувийн хэрэгцээнд зориулагдсан зүйл байж болно. Хар малгайтнууд ил гарсан мэдээллийг зөвхөн уншихаас гадна объектын шинж чанарыг удирдахад ашиглаж болно. Хамгаалалтынхаа сул талыг хайж олохдоо өөрийгөө хакер гэж бодоорой. Зөвхөн зохих эрхтэй хүмүүст буцааж өгсөн зүйлд хандахыг зөвшөөрнө үү. Эмзэг байдлыг багасгахын тулд API хариултын багцыг хязгаарлана уу. Судалгаанд оролцогчид заавал шаардлагагүй холбоосыг нэмж оруулах ёсгүй.
Сурталчилсан API:
Хөрөнгийн буруу менежмент
Хөгжүүлэгчийн бүтээмжийг нэмэгдүүлэхээс гадна одоогийн хувилбарууд болон баримт бичиг нь таны аюулгүй байдалд чухал үүрэгтэй. Шинэ хувилбаруудыг нэвтрүүлэх, хуучин API-уудыг ашиглахгүй байх талаар урьдчилан бэлтгэ. Хуучин API-г ашиглахын оронд шинэ API-г ашигла. API тодорхойлолтыг баримт бичгийн үнэний үндсэн эх сурвалж болгон ашиглаж болно.
Тарих
API нь тарилгад өртөмтгий байдаг ч гуравдагч талын хөгжүүлэгчийн програмууд ч мөн адил. Хортой кодыг нууц үг, зээлийн картын дугаар зэрэг өгөгдлийг устгах эсвэл нууц мэдээллийг хулгайлахад ашиглаж болно. Эндээс авах хамгийн чухал сургамж бол үндсэн тохиргооноос хамаарахгүй байх явдал юм. Таны удирдлага эсвэл гарц нийлүүлэгч таны өвөрмөц хэрэглээний хэрэгцээг хангах боломжтой байх ёстой. Алдааны мессеж нь нууц мэдээллийг агуулсан байх ёсгүй. Системээс гадуур таних мэдээлэл алдагдахаас сэргийлэхийн тулд хосын нууц нэрийг жетонд ашиглах хэрэгтэй. Энэ нь хэрэглэгчийг тодорхойлохын тулд ямар ч үйлчлүүлэгч хамтран ажиллахгүй байхыг баталгаажуулдаг.
Мод бэлтгэх, хяналт тавих хангалтгүй
Довтолгоо тохиолдоход багууд сайтар бодож боловсруулсан хариу арга хэмжээ авахыг шаарддаг. Найдвартай мод бэлтгэх, хянах систем байхгүй тохиолдолд хөгжүүлэгчид баригдахгүйгээр сул талуудыг ашигласаар байх бөгөөд энэ нь алдагдлыг нэмэгдүүлж, компанийн талаарх олон нийтийн ойлголтод сөргөөр нөлөөлнө. API-ийн хатуу хяналт, үйлдвэрлэлийн эцсийн цэгийн туршилтын стратегийг хэрэгжүүлэх. Эмзэг байдлыг эрт илрүүлсэн цагаан малгайт шалгагчдыг шагналын системээр шагнаж урамшуулах ёстой. Хэрэглэгчийн таниулбарыг API гүйлгээнд оруулснаар бүртгэлийн мөрийг сайжруулж болно. Access Token өгөгдлийг ашиглан API архитектурын бүх давхаргыг шалгаж байгаа эсэхийг шалгаарай.
Дүгнэлт
Платформын архитекторууд нь тогтсон эмзэг байдлын шалгуурыг дагаж, халдагчдаас нэг алхам түрүүлэхийн тулд системээ тоноглож болно. API нь Хувь хүний мэдээлэл (PII) хүртээмжтэй байж болох тул ийм үйлчилгээний аюулгүй байдлыг хангах нь компанийн тогтвортой байдал болон GDPR зэрэг хууль тогтоомжийг дагаж мөрдөхөд чухал ач холбогдолтой. API гарц болон Phantom токен хандлагыг ашиглахгүйгээр хэзээ ч OAuth жетоныг API дээр шууд илгээж болохгүй.
Сурталчилсан API:
