Методы авторизации API

Введение#

В современном мире API являются основой современных приложений. Это основной способ доступа к данным и функциональности от серверных служб. API позволяют различным программным системам от разных сторон взаимодействовать и обмениваться данными, что делает их незаменимыми для бизнеса. Однако API также являются распространенной целью для атак. Необходимость защиты API сейчас более остра, чем раньше.

Защита API — это процесс обеспечения безопасности API от несанкционированного доступа, злоупотреблений и атак. Это важный компонент любой стратегии API. В этой статье мы рассмотрим три распространенных механизма защиты API: ключи API, базовую аутентификацию и OAuth JWT токены. В конце мы также покажем, как Logto защищает ваши API с помощью OAuth JWT токенов.

Ключи API#

Ключ API — это самый простой и широко используемый метод защиты API. Ключ API — это длинная строка символов, сгенерированная поставщиком API и передаваемая авторизованным пользователям. Этот ключ должен быть включен в заголовок запроса при обращении к API. Ключи API просты и эффективны для базовых потребностей в безопасности. Например, популярные сервисы, такие как Google Maps API и AWS, предоставляют ключи API для контроля доступа и мониторинга использования. Однако у них есть ограничения в плане безопасности. Они часто используются для взаимодействия «машина-машина».

например.

Плюсы:#

• Простота реализации: Ключи API просты в реализации и использовании. Они включают присоединение ключа к заголовку запроса, что делает этот метод доступным и понятным для разработчиков и клиентов.
• Удобство мониторинга: Ключи API легко мониторить. Вы можете отслеживать использование каждого ключа и при необходимости отзывать их.
• Эффективное ограничение скорости: Ключи API эффективны для ограничения скорости. Вы можете установить лимит на количество запросов на ключ, чтобы предотвратить злоупотребление.
• Подходят для несекретных данных: Ключи API подходят для несекретных данных или общедоступных API, где требования к безопасности ниже.

Минусы:#

• Ограниченная безопасность: Ключи API недостаточно безопасны для секретных данных, особенно для клиентских приложений. Они часто используются во взаимодействиях «машина-машина».
• Неподходящи для аутентификации пользователей: Ключи API привязаны к приложениям или системам, а не к отдельным пользователям, что затрудняет идентификацию конкретных пользователей или отслеживание их действий.
• Нет срока действия токена: Ключи API обычно статичны и не истекают. Если ключ будет скомпрометирован, его могут использовать бесконечно, если только не будет вручную сгенерирован новый.

Базовая аутентификация#

Базовая аутентификация — это другой распространенный метод защиты API. Это простая схема аутентификации, встроенная в протокол HTTP. Она включает в себя отправку имени пользователя и пароля в заголовке запроса. Сервер затем проверяет учетные данные и возвращает запрошенный ресурс, если они действительны. Например, многие веб-приложения и RESTful API используют базовую аутентификацию как быстрый и простой способ аутентификации пользователей. Базовая аутентификация более безопасна, чем ключи API, поскольку вместо статического ключа используется имя пользователя и пароль. Однако она все еще недостаточно безопасна для секретных данных, так как учетные данные клиента передаются в виде открытого текста и подвержены перехвату. Базовая аутентификация подходит для внутренних систем, где сетевое соединение безопасно, например, для взаимодействий «машина-машина».

например.

или

Плюсы:#

• Более сильная безопасность: Базовая аутентификация более безопасна, чем ключи API, так как вместо статического ключа используется имя пользователя и пароль.
• Широкая поддержка: Базовая аутентификация широко применяется и поддерживается большинством веб-серверов и браузеров.
• Простота: Как и ключи API, базовая аутентификация относительно проста в настройке и использовании.

Минусы:#

• Уязвимость учетных данных: Базовая аутентификация отправляет учетные данные в виде открытого текста, что делает их уязвимыми для перехвата, если не используется защищенное соединение (HTTPS).
• Нет срока действия токена: Базовая аутентификация не поддерживает срок действия токена. Если токен будет скомпрометирован, его могут использовать бесконечно, если только не будет вручную сгенерирован новый.

OAuth JWT токены#

JSON Web Token (JWT), определенный по RFC 7519, — это открытый стандарт для безопасной передачи информации между сторонами в виде JSON-объекта. Он часто используется для аутентификации и авторизации в веб-приложениях и API.

Подписанный JWT имеет следующий формат:

Он состоит из трех частей, разделенных символом .: заголовок, полезная нагрузка и подпись.

Пример JWT:

• заголовок: содержит информацию о типе токена и алгоритме хеширования, используемом для его подписи.
• полезная нагрузка: содержит утверждения (заявления) о пользователе и другую информацию.
• подпись: это хеш заголовка и полезной нагрузки, подписанный секретным ключом.

OAuth — это комплексный открытый стандарт для защиты API и делегирования доступа, широко используемый как способ предоставления пользователями веб-сайтов или приложений доступа к их информации на других веб-сайтах без передачи им паролей.

При использовании вместе с JWT, OAuth JWT токены предоставляют надежное решение для безопасности. Вместо передачи конфиденциальной информации, такой как имена пользователей и пароли, с каждым запросом, OAuth JWT токены выдаются авторизованным клиентам после успешной аутентификации. Эти токены содержат информацию о пользователе и его правах доступа. Кроме того, JWT токены цифрово подписаны, чтобы предотвратить их подделку, и могут истекать. Это обеспечивает дополнительный уровень безопасности.

Одним из ключевых преимуществ OAuth JWT токенов является их гибкость. Они могут быть использованы для различных типов приложений, включая веб- и мобильные приложения, решения для единого входа и др. Например, крупные социальные сети, такие как Facebook, Twitter и LinkedIn, используют OAuth JWT токены для аутентификации пользователей и обеспечения безопасного доступа сторонних приложений к данным пользователей.

Плюсы:#

• Усиленная безопасность: OAuth JWT токены предоставляют более высокий уровень безопасности. Они цифрово подписаны и могут быть зашифрованы, что снижает риск несанкционированного доступа и подделки данных.
• Идентификация пользователя и контроль доступа: JWT токены могут содержать информацию об идентификации пользователя и включать утверждения, которые указывают, какие действия или ресурсы пользователю разрешено использовать.
• Тонкий контроль доступа: JWT токены могут быть использованы для реализации тонкого контроля доступа. Например, можно указать, к каким ресурсам пользователь может получить доступ и какие действия он может выполнять с этими ресурсами.
• Срок действия токена: OAuth JWT токены могут быть настроены на истечение через определенное время, что снижает риск их неправильного использования.

Минусы:#

• Сложность: OAuth JWT токены более сложны по сравнению с ключами API и базовой аутентификацией. Они требуют дополнительных шагов для настройки и использования.
• Менеджмент токенов: OAuth JWT токены требуют управления и их необходимо отзывать, если это необходимо. Это может быть сложно в масштабных приложениях с большим количеством пользователей и клиентов.
• Расход ресурсов: Генерация и проверка токенов могут иметь некоторые накладные расходы на производительность, что может быть проблемой в условиях высокого трафика.

Защита API с Logto#

Выбор метода аутентификации зависит от конкретных требований и соображений безопасности вашего приложения. Ключи API просты, но менее безопасны, базовая аутентификация предоставляет больше безопасности, но не имеет функций идентификации пользователя, в то время как OAuth JWT токены обеспечивают надежную безопасность и возможности идентификации пользователя, но увеличивают сложность реализации и управления.

Logto предоставляет простой и безопасный способ защиты ваших API с помощью OAuth JWT токенов. Он поддерживает как стандарты OAuth 2.0, так и OpenID Connect (OIDC), позволяя вам выбрать метод аутентификации, который наилучшим образом соответствует вашим потребностям. Вы можете использовать client_credentials поток для взаимодействий «машина-машина» и authorization_code поток для веб-приложений.

Взаимодействие «машина-машина»#

Logto использует client_credentials поток для приложений типа «машина-машина». Этот поток подходит для взаимодействия серверов, где клиент является доверенным клиентом, который может безопасно хранить учетные данные клиента. Он также известен как "двуногий OAuth", так как не подразумевает участие пользователя. Учетные данные клиента используются непосредственно в качестве разрешения на получение токена доступа.

Процесс интеграции прост и ясен:

1. Создайте ресурс API в Logto Console.
2. Создайте клиента для взаимодействий "машина-машина" в Logto Console.
3. Отправьте запрос на окончательный токен в Logto, чтобы получить токен доступа.

4. Доступ к защищенному ресурсу с токеном доступа.

Пожалуйста, ознакомьтесь с нашей документацией о интеграции для взаимодействий "машина-машина" для получения более подробной информации.

Веб-приложения#

Для публичных клиентов, таких как веб-приложения, Logto использует authorization_code поток для аутентификации пользователей. Этот поток подходит для веб-приложений, где клиент является публичным клиентом, который не может безопасно хранить учетные данные клиента. Он также известен как "трехногий OAuth", так как подразумевает участие пользователя. Пользователь перенаправляется на сервер авторизации для аутентификации и авторизации клиента. Затем клиент использует код авторизации для получения токена доступа.

Процесс интеграции немного сложнее, чем поток для взаимодействий "машина-машина":

Пожалуйста, ознакомьтесь с нашей статьей Защищайте свой Express.js API с помощью JWT и Logto как со всеобъемлющим примером того, как интегрировать Logto с React и получить доступ к вашим API серверов Express с использованием JWT токенов.