@arjavdaveارجاو دیو
مدیر فنی و بنیانگذار فنی – پنیرRoyale
در 11 سال فعالیتم به عنوان یک توسعه دهنده ، API های زیادی دیده ام که دارای نقص امنیتی عمده ای هستند. یا فاقد احراز هویت یا مجوز مناسب یا هر دو هستند.
ممکن است توسعه دهندگان احساس کنند همه چیز خوب است ، زیرا این نقاط نهایی معمولاً عمومی نیستند. اما این یک حفره بزرگ حلقه امنیتی است که هرکسی به راحتی می تواند آن را هدف قرار دهد.
برای درک بهتر امنیت API ، بیایید یک پروژه آزمایشی برای FBI ایجاد کنیم. یک مدیر وجود دارد که می تواند نمایندگان FBI را ثبت نام کرده و سطح تصفیه آنها را تغییر دهد.
نمایندگان FBI با سطح ترخیص کالا از گمرک 1 قادر به دسترسی به پرونده های عمومی و نمایندگان با ترخیص سطح 2 امکان دسترسی به پرونده های عمومی و طبقه بندی شده را خواهد داشت.
اما قبل از شروع ، در اینجا برخی از تئوری ها آورده شده است.
احراز هویت چگونه کار می کند
نماینده ما با موفقیت تمام امتحانات خود را پاک کرده است. زمان ثبت نام آنها است. برای این کار آنها مدارک خود را ارائه می دهند و در ازای آن نشان خود را می گیرند.
در سناریوی فوق ، ارائه اسناد مانند ورود به سیستم است – جایی که پس از تأیید ، یک عامل (یک نشان) به نماینده ارائه می شود. این فرآیند نامیده می شود احراز هویت. این تعیین می کند که آیا نمایندگان همان کسانی هستند که ادعا می کنند هستند.
ما برای احراز هویت از نشانه های حامل وب JSON (JWT) استفاده خواهیم کرد. نشانه های حامل نوعی رمز هستند که توسط …