ʻO nā mea nāwaliwali API OATH kiʻekiʻe
Nā Pilikia OATH API kiʻekiʻe: Intro
I ka hiki ʻana mai i ka hoʻohana ʻana, ʻo nā API ka wahi maikaʻi loa e hoʻomaka ai. API ʻekolu ʻāpana ke komo maʻamau. Hāʻawi ʻia nā mea kūʻai aku i nā hōʻailona e kahi Server Manaʻo, e holo pū ana me nā API. Loaʻa ka API i nā hōʻailona komo mai ka mea kūʻai aku a hoʻohana i nā lula mana kikoʻī kikoʻī e pili ana iā lākou.
Pilikia nā polokalamu polokalamu hou i nā ʻano pōʻino. E hoʻomau i ka wikiwiki i nā hana hou loa a me nā hemahema palekana; ʻO ka loaʻa ʻana o nā hōʻailona no kēia mau nāwaliwali he mea nui ia e hōʻoia i ka palekana o ka noi ma mua o ka hoʻouka ʻana. Ke hilinaʻi nui nei nā noi ʻaoʻao ʻekolu i ka protocol OAuth. E loaʻa i nā mea hoʻohana ka ʻike mea hoʻohana holoʻokoʻa ʻoi aku ka maikaʻi, a me ka wikiwiki a me ka ʻae ʻana, mahalo i kēia ʻenehana. ʻOi aku ka palekana ma mua o ka ʻae maʻamau no ka mea ʻaʻole pono nā mea hoʻohana e hōʻike i kā lākou hōʻoia me ka palapala noi ʻaoʻao ʻekolu i mea e komo ai i kahi kumuwaiwai i hāʻawi ʻia. ʻOiai ua palekana a paʻa ka protocol ponoʻī, ʻo ke ʻano o ka hoʻokō ʻana e haʻalele iā ʻoe e hoʻouka.
I ka hoʻolālā ʻana a me ka hoʻokipa ʻana i nā API, pili kēia ʻatikala i nā nāwaliwali OAuth maʻamau, a me nā ʻano hoʻemi palekana.
ʻAe ʻia i ka pae o nā mea i haki
Aia kahi ākea hoʻouka kaua inā ʻae ʻia ka ʻae ʻana mai ka hāʻawi ʻana o nā API i ke komo i nā mea. No ka mea pono e hōʻoia ʻia nā mea hiki i ka API, pono kēia. E hoʻokō i nā hōʻoia ʻae ʻana i ka pae mea me ka hoʻohana ʻana i kahi ʻīpuka API. ʻO ka poʻe wale nō me nā palapala ʻae kūpono e ʻae ʻia ke komo.
ʻO ka hōʻoia ʻana o ka mea hoʻohana i haki
ʻO nā hōʻailona ʻae ʻole ʻia kahi ala maʻamau no ka poʻe hoʻouka e loaʻa ai ke komo i nā API. Hiki ke hoʻopaʻa ʻia nā ʻōnaehana hōʻoia, a i ʻole ke kuhi hewa ʻana i kahi kī API. ʻO nā hōʻailona hōʻoia paha hoʻohana ʻia e nā hacker e loaa ke komo. E hōʻoia i ka poʻe inā hiki ke hilinaʻi ʻia, a hoʻohana i nā ʻōlelo huna ikaika. Me OAuth, hiki iā ʻoe ke hele ma mua o nā kī API wale nō a loaʻa i kāu ʻikepili. Pono ʻoe e noʻonoʻo e pili ana i kou komo ʻana a i waho o kahi wahi. OAuth MTLS Sender Constrained Tokens hiki ke hoʻohana pū me Mutual TLS e hōʻoiaʻiʻo ʻaʻole hana hewa nā mea kūʻai aku a hāʻawi i nā hōʻailona i ka ʻaoʻao hewa ʻoiai ke komo ʻana i nā mīkini ʻē aʻe.
Hoʻolaha API:
Hōʻike ʻike nui loa
ʻAʻohe kaohi i ka helu o nā helu hope e paʻi ʻia. ʻO ka hapa nui o ka manawa, ʻaʻole i loaʻa nā hiʻohiʻona āpau i nā mea hoʻohana a pau. Ma ka hōʻike ʻana i nā ʻikepili hou aʻe ma mua o ka mea e pono ai, hoʻopilikia ʻoe iā ʻoe iho a me nā poʻe ʻē aʻe. Hōʻalo i ka hōʻike ʻana i nā mea koʻikoʻi ike a hiki i ka pono loa. Hiki i nā mea hoʻomohala ke kuhikuhi i ka mea i loaʻa i ka mea ma o ka hoʻohana ʻana i ka OAuth Scopes and Claims. Hiki i nā koi ke kuhikuhi i nā ʻāpana o ka ʻikepili i loaʻa i ka mea hoʻohana. Hiki ke maʻalahi a maʻalahi ka hoʻokele ʻana ma o ka hoʻohana ʻana i kahi hoʻolālā maʻamau ma waena o nā API āpau.
Ka 'ole o ka waiwai a me ka palena uku
Hoʻohana pinepine nā pāpale ʻeleʻele i ka hōʻole ʻana i ka lawelawe (DoS) ma ke ʻano he ala ʻoi loa e hoʻoulu ai i kahi kikowaena a no laila e hōʻemi ana i kona manawa hana i ka zero. Me ka ʻole o nā kaohi ʻana i nā kumuwaiwai e hiki ke kapa ʻia, hiki ke hoʻopilikia ʻia kahi API i kahi hoʻouka kaua. 'Me ka ho'ohana 'ana i ka puka API a i 'ole ka mea hana ho'okele, hiki iā 'oe ke ho'onoho i ka palena no nā API. Pono e hoʻokomo ʻia ka kānana a me ka helu helu ʻana, a me nā pane i kaupalena ʻia.
Misconfiguration o ka Pūnaehana Palekana
ʻO nā kulekele hoʻonohonoho hoʻonohonoho palekana ʻokoʻa he ākea ākea, ma muli o ka nui o ka hewa o ka palekana. Hiki i kekahi mau mea liʻiliʻi ke hoʻopilikia i ka palekana o kāu platform. Hiki paha i nā pāpale ʻeleʻele me nā kumu ulterior ke ʻike i ka ʻike koʻikoʻi i hoʻouna ʻia no ka pane ʻana i nā nīnau hewa, ma ke ʻano he laʻana.
Haʻawina Nui
Ma muli wale nō o ka wehewehe ʻole ʻia ʻana o kahi hopena i ka lehulehu, ʻaʻole ia i manaʻo ʻaʻole hiki ke ʻike ʻia e nā mea hoʻomohala. Hiki ke hoʻopili koke ʻia kahi API huna a hoʻohuli ʻia e ka poʻe hackers. E nānā i kēia hiʻohiʻona kumu, e hoʻohana ana i kahi Open Bearer Token i kahi API "kūʻokoʻa". Ma ka ʻaoʻao ʻē aʻe, aia paha nā palapala lehulehu no kahi mea i manaʻo wale ʻia no ka hoʻohana pilikino. Hiki ke hoʻohana ʻia ka ʻike i hōʻike ʻia e nā pāpale ʻeleʻele no ka heluhelu wale ʻana akā no ka hoʻopunipuni ʻana i nā ʻano mea. E noʻonoʻo iā ʻoe iho he hacker ke ʻimi nei ʻoe i nā wahi nāwaliwali i kāu pale. E ʻae wale i ka poʻe nona nā kuleana kūpono e komo i ka mea i hoʻihoʻi ʻia. No ka hōʻemi ʻana i ka nāwaliwali, e kaupalena i ka pūʻolo pane API. ʻAʻole pono nā mea pane e hoʻohui i nā loulou i koi ʻole ʻia.
API i paipai ʻia:
Hooponopono waiwai pono ole
Ma waho aʻe o ka hoʻonui ʻana i ka huahana mea hoʻomohala, pono nā mana o kēia manawa a me nā palapala no kou palekana ponoʻī. E hoʻomākaukau no ka hoʻokomo ʻana i nā mana hou a me ka hoʻopau ʻana i nā API kahiko ma mua. E hoʻohana i nā API hou ma mua o ka ʻae ʻana i nā mea kahiko e hoʻohana mau. Hiki ke hoʻohana ʻia kahi kikoʻī API ma ke ʻano he kumu mua o ka ʻoiaʻiʻo no ka palapala.
Injection
Pilikia nā API i ka injection, akā pēlā nā polokalamu hoʻomohala ʻaoʻao ʻekolu. Hiki ke hoʻohana ʻia ka code malicious e holoi i ka ʻikepili a ʻaihue paha i ka ʻike huna, e like me nā huaʻōlelo a me nā helu kāleka hōʻaiʻē. ʻO ka haʻawina koʻikoʻi e lawe ʻia mai kēia mea ʻaʻole e hilinaʻi i nā hoʻonohonoho paʻamau. Pono kāu hoʻokele a mea hoʻolako puka puka e hoʻokō i kāu mau pono noi kūikawā. ʻAʻole pono e hoʻokomo i nā memo hewa i ka ʻike koʻikoʻi. No ka pale ʻana i ka ʻikepili ʻike mai ka haʻalele ʻana ma waho o ka ʻōnaehana, pono e hoʻohana ʻia nā Pairwise Pseudonyms i nā hōʻailona. Mālama kēia ʻaʻole hiki ke hana pū kekahi mea kūʻai aku e ʻike i kahi mea hoʻohana.
ʻAʻole lawa ka hoʻopaʻa ʻana a me ka nānā ʻana
Ke hoʻouka ʻia, pono nā hui i kahi hoʻolālā pane noʻonoʻo maikaʻi. E hoʻomau ka poʻe hoʻomohala i ka hoʻohana ʻana i nā nāwaliwali me ka ʻole e hopu ʻia inā ʻaʻole i hoʻokumu ʻia kahi ʻōnaehana hoʻopaʻa inoa a me ka nānā ʻana, kahi e hoʻonui ai i nā poho a hōʻino i ka manaʻo o ka lehulehu i ka hui. E hoʻopaʻa i kahi hoʻolālā hoʻāʻo hoʻāʻo ʻana i ka API a me ka hoʻolālā ʻana. Pono e uku ʻia nā mea hoʻāʻo pāpale keʻokeʻo e ʻike i nā nāwaliwali me ka makana makana. Hiki ke hoʻomaikaʻi ʻia ke ala o ka lāʻau ma ka hoʻokomo ʻana i ka ʻike o ka mea hoʻohana i nā kālepa API. E hōʻoia i ka loiloi ʻia nā papa āpau o kāu hoʻolālā API me ka hoʻohana ʻana i ka ʻikepili Access Token.
Panina
Hiki i nā mea hoʻolālā papahana ke hoʻolako i kā lākou mau ʻōnaehana e mālama i hoʻokahi ʻanuʻu ma mua o ka poʻe hoʻouka kaua ma o ka hahai ʻana i nā pae hoʻonāwaliwali i hoʻokumu ʻia. No ka mea hiki i nā API ke hāʻawi i ka ʻike i ka Personally Identifiable Information (PII), he mea koʻikoʻi ka mālama ʻana i ka palekana o ia mau lawelawe no ka paʻa ʻana o ka ʻoihana a me ka hoʻokō ʻana i nā kānāwai e like me GDPR. Mai hoʻouna pololei i nā hōʻailona OAuth ma luna o kahi API me ka hoʻohana ʻole i kahi API Gateway a me ka Phantom Token Approach.
API i paipai ʻia:
