Les meilleures Pratiques pour sécuriser une API REST / web service

Lors de la conception d'une API REST ou d'un service sont-il des pratiques exemplaires établies pour traiter de la sécurité (Authentification, l'Autorisation, la Gestion de l'Identité) ?

Lors de la construction d'une API SOAP, vous avez WS-Security en tant que guide et beaucoup de littérature existe sur le sujet. J'ai trouvé de moins en moins d'informations sur la sécurisation RESTE des points de terminaison.

Alors que je comprends le REPOS intentionnellement ne pas avoir des caractéristiques analogues à WS-* je suis en espérant que les meilleures pratiques ou les modèles recommandés ont émergé.

Toute discussion ou des liens vers des documents pertinents serait très apprécié.
Si il le faut, nous serions en utilisant WCF avec POX/JSON sérialisé messages pour notre API REST/des Services construit à l'aide de la v3.5 de la .NET Framework.

  • connaissez-vous une pleine application réelle à l'aide de bonnes pratiques et modèles avec le RESTE de l'API et webServices sur github?
InformationsquelleAutor Nathan | 2008-08-11
  1. 292

    Comme tweakt dit, Amazon S3 est un bon modèle pour travailler avec. Leur demande de signatures n'ont certaines fonctions (telles que l'intégration d'un timestamp) qui aident à protéger contre accidentelle ou malveillante demande de relecture.

    La bonne chose à propos de HTTP de Base est que pratiquement tous HTTP bibliothèques de la soutenir. Vous aurez, bien sûr, besoin de besoin de SSL dans ce cas, car l'envoi de mots de passe en clair sur le net est presque toujours une mauvaise chose. De base est préférable à Digérer lors de l'utilisation de SSL, car même si l'appelant sait déjà que les informations d'identification sont nécessaires, Digérer nécessite un aller-retour supplémentaire pour l'échange de la valeur de nonce. Avec la de Base, les appelants il suffit d'envoyer les informations d'identification de la première fois.

    Une fois l'identité du client est établie, l'autorisation est vraiment juste un problème de mise en œuvre. Cependant, vous pourriez déléguer l'autorisation à d'autres composantes à un modèle d'autorisation. De nouveau la bonne chose à propos de Base ici est que votre serveur se termine avec une copie en clair du mot de passe du client que vous pouvez tout simplement passer à un autre composant au sein de votre infrastructure en tant que de besoin.

    • SSL est une partie importante de la sécurité, mais toutes les applications ne nécessitent que le niveau de cryptage. Si quelqu'un vole en transit ce que vous allez poster publiquement sur Twitter, c'est que tel un inconvénient important? Pour la majorité de l'API de chiffrement SSL va être privilégiées. Les exigences en matière d'infrastructure de SSL sont un peu plus élevés qu'avec le texte clair et sans intermédiaire (lire ici basé sur le bord) la mise en cache des serveurs peuvent participer à la mise en cache, à plusieurs reprises, le contenu auquel vous accédez. Méfiez-vous, votre évolutivité pourriez subir si vous avez absolument besoin de le chiffrage offerts.
    • Votre argument est spécieux, car si quelqu'un peut voir la totalité de la transaction que j'utilise pour poster sur Twitter, alors qu'ils pourraient, par conséquent, d'usurper l'identité de moi et de publier leurs propres messages sous mon nom.
    • oui, j'ai pensé que, toutefois jetons d'authentification peut être chiffré, même si l'ensemble de la chaîne n'est pas crypté SSL.
    • Citer wikipédia sur l'authentification Digest, "Digest authentification d'accès est l'un de ce qui a été convenu méthodes un serveur web peut utiliser pour négocier des informations d'identification avec un navigateur web de l'utilisateur. Il s'applique une fonction de hachage d'un mot de passe avant de l'envoyer sur le réseau, ce qui est plus sûr que de l'authentification d'accès de base, qui envoie en clair.", ce qui serait un moyen standard de l'accomplissement de ce que j'ai fait allusion ci-dessus. (Voir en.wikipedia.org/wiki/Digest_access_authentication pour les détails)
    • Le BuzzFeed article est phénoménal - grande ressource. Un piège que je n'avais pas envisagé de ne pas mettre les jetons d'authentification de toute sorte dans l'URL ou des paramètres - tels que saisis dans le serveur de logs d'accès.
    • "sending plaintext passwords over the net is almost universally a bad thing" - Pouvez-vous élaborer sur le "presque"? Quand est-il pas une mauvaise idée?
    • Peut-être dans des situations telles que l'intérieur d'un réseau privé, il pourrait être acceptable. Aussi, les divers systèmes d'envoyer des mots de passe en clair par e-mail tout le temps (pas une bonne idée, mais ça arrive).
    • même dans un réseau privé, je ne veux pas que mes utilisateurs d'être en mesure d'intercepter les uns et les autres mots de passe. La seule situation que je pense, dans lequel il est OK pour envoyer un mot de passe sur un réseau, c'est quand l'utilisateur est seul dans le réseau. Le fait que de telles choses se produisent ailleurs n'est pas une raison pour le permettre.
    • Si vous utilisez ssl, vous n'avez pas besoin de se soucier de rejeu. Voir: security.stackexchange.com/questions/20105/...
    • ce n'est pas correct à 100%. SSL établit une connexion sécurisée mais ne l'empêche pas de relire les messages à l'intérieur de cette connexion. Il empêche de rejouer un dump recueillies avec un sniffer, mais si quelqu'un peut déchiffrer le message original (pas difficile), il est possible de reconstruire les messages (ou en créer de nouvelles) et de la renvoyer les messages, à moins que le roi de message niveau de sécurité est utilisée. SSL par lui-même n'est pas très sécurisé.
    • veuillez fournir des détails. Votre demande de devis "SSL par lui-même n'est pas très sécurisé" est très vague. Comment pouvez-vous décrypter le message d'origine? Je ne comprends pas pourquoi tu dis que ce n'est pas que dur.
    • juste à l'aide de SSL ne signifie pas que votre application est sécurisée. Je vois beaucoup de (mobiles), les développeurs en ignorant la Validation de Certificat... même si elles valider le certificat dans un environnement contrôlé par d'autres, il ya des façons de contourner cet et permettre à un homme du milieu (je l'ai vu et fait dans un environnement contrôlé avec la sortie de la boîte d'outils et sans beaucoup de connaissances sur le sujet). C'est pourquoi je dis que le protocole SSL par lui-même n'est pas très sûre, mais l'une des couches de sécurité que vous devez utiliser
    • Il me manque encore une explication de "SSL établit une connexion sécurisée mais ne l'empêche pas de relire les messages à l'intérieur de la connexion." et "mais si quelqu'un peut déchiffrer le message original (pas difficile)"
    • un commentaire ne permet pas de suffisamment chareters pour donner plus de détails réponse. chercher de l'Homme du milieu ou de proxy SSL et vous verrez comment capturer et de décrypter les messages à l'intérieur d'un canal sécurisé (facile avec un certain contrôle sur le nécessitant). Si les messages ne sont pas authentifiés ou fixé d'une certaine manière vous serez en mesure de reconstituer le message et de les relire ou même à le modifier et l'envoyer. Certitificate validation joue un rôle clé dans SSL et si vous surmonter cette puis le canal sécurisé n'est plus sécurisé.
    • Je sais que c'est possible. Mais c'est difficile. De course mitmproxy.org c'est très facile. Mais d'abord, vous devez exécuter le proxy entre le client et le serveur. Ensuite, vous devrez présenter une cert pour le domaine demandé. Je n'appellerais pas cela "pas difficile". Il est possible, mais pas facile.
    • comme je l'ai dit: "je vois beaucoup de (mobiles), les développeurs en ignorant la Validation de Certificat... même si elles valider le certificat dans un environnement contrôlé par d'autres, il ya des façons de contourner cet et permettre à un homme du milieu". Si vous controll le nécessitant, vous pouvez facilement installer les certificats de confiance. Dans le cas où la validation de certificat est ignorée vous n'avez même pas à le faire.
    • oui, en voyant quelqu'un de tweets avant leur publication est pas une grosse affaire, mais avec pas de protection cryptographique, l'attaquant peut également les modifier. Et c'EST une grosse affaire.

    InformationsquelleAutor Greg Hewgill
  2. 114

    Il n'existe pas de normes pour le REPOS autres que HTTP. Il y a établi des services RESTE là-bas. Je vous suggère de prendre un coup d'oeil à eux et avoir une idée de comment ils fonctionnent.

    Par exemple, nous avons emprunté beaucoup d'idées, d'Amazon S3 RESTE de service lors de l'élaboration de notre propre. Mais nous avons choisi de ne pas utiliser le plus avancé modèle de sécurité basé sur la demande de signatures. L'approche la plus simple est HTTP Basic auth sur SSL. Vous devez décider ce qui fonctionne le mieux dans votre situation.

    Aussi, je recommande fortement le livre Les Services Web RESTful de O'reilly. Il explique les concepts de base et de ne fournir certaines des meilleures pratiques. Vous pouvez généralement prendre le modèle qu'ils fournissent et de l'associer à votre propre application.

    • Les Services Web RESTful qui est certainement un grand livre. A lire absolument dans ce domaine. C'était franchement inspirant.
    • Comment est-ce que @aehlke a reçu tant de upvotes pour ce commentaire considérant (1) il n'y a pas une telle chose comme un RESTE de spécification et (2) la mise en service d'une Thèse sur l'Architecture et la Conception de Réseau basée sur les Architectures Logicielles, mentionne explicitement le REPOS et HTTP 6.3: RESTE Appliqué à HTTP.
    • HTTP n'est pas une exigence pour le REPOS.
    • Les Services Web RESTful livre est disponible gratuitement à partir de leur site web: crummy.com/writing/RESTful-Web-Services
    • J'avais l'intention de lire le livre et je réalise que c'est principalement ciblé pour le format XML. Dois-je utiliser ce livre en considérant la popularité du JSON? Ou il n'est pas dépendant du Format d'Échange de Données. Besoin de conseils.
    • reste fonctionnalité n'est pas couplé avec le format des données

    InformationsquelleAutor Mark Renouf
  3. 72

    Vous pouvez également prendre un coup d'oeil à OAuth, un nouveau protocole d'ouverture de la base de jeton d'autorisation ciblant spécifiquement l'api http.

    Il est très similaire à l'approche adoptée par flickr et ne pas oublier le lait "reste" api (pas nécessairement de bons exemples de restful api, mais de bons exemples de la base de jeton d'approche).

    • Mais il semble que les 2 pattes oAuth, je pense que c'est ce qui est nécessaire ici, n'est pas couvert (manque d'info) autant que les 3 pattes à un.
    • OAuth est à propos de la délégation de l'autorisation, c'est à dire je le détenteur de l'information / compte laisser Un service à interagir avec mes données sur le service B (par exemple, j'ai laissé Twitter écrire sur mon facebook). Ce n'est pas de l'autorisation au sens le plus large qui est sur le contrôle que les utilisateurs peuvent effectuer sur les ressources (données, informations, services,...). C'est là que XACML étapes. XACML vous permet de définir des stratégies d'autorisation de savoir qui peut faire quoi.
    InformationsquelleAutor John Spurlock
  4. 53

    Il y a une grande liste de vérification trouvé sur Github:

    Authentification

    • Ne pas réinventer la roue pour l'Authentification, la génération du jeton, stockage de mot de passe. L'utilisation des normes.

    • Utilisation Max Retry et de la prison fonctionnalités de Connexion.

    • Utiliser le chiffrement sur toutes les données sensibles.

    JWT (JSON Web Jeton)

    • Utilisation aléatoire de touches complexes (JWT Secret) pour faire de la force brute le jeton très dur.

    • De ne pas extraire l'algorithme à partir de la charge utile. La Force de l'algorithme dans le backend (HS256 ou RS256).

    • Faire jeton d'expiration (TTL, RTTL) aussi court que possible.

    • Ne pas stocker de données sensibles dans le JWT la charge utile, il peut être décodé facilement.

    OAuth

    • Toujours valider redirect_uri côté serveur pour autoriser uniquement dans la liste blanche des URLs.

    • Toujours essayer d'échange de code et pas de jetons (ne pas permettre response_type=token).

    • Utilisation paramètre d'état avec un nombre aléatoire de hachage pour éviter CSRF sur le OAuth processus d'authentification.

    • Définir l'étendue par défaut et valider les paramètres de portée pour chaque application.

    Accès

    • Limiter les demandes (Throttling) pour éviter /DDoS les attaques en force.

    • Utilisation de HTTPS sur le serveur, afin d'éviter MITM (Man In The Middle Attack)

    • Utilisation HSTS - tête avec le protocole SSL pour éviter SSL Bande attaque.

    Entrée

    • D'utiliser la bonne méthode HTTP en fonction de l'opération: GET (lire), POST (créer), PUT/PATCH (remplacer/mettre à jour), et DELETE (pour supprimer un enregistrement), et de répondre avec 405 Method Not Allowed si la méthode n'est pas appropriée pour la ressource demandée.

    • De valider le contenu-type sur demande Accept en-tête (Négociation de Contenu) pour permettre votre seul format pris en charge (par exemple,application/xml, application/json, etc) et de répondre avec 406 Not Acceptable de réponse si pas de correspondance.

    • Valider content-type de données publiées comme vous l'accepter (par exemple application/x-www-form-urlencoded, multipart/form-data, application/json, etc).

    • Valider la saisie de l'Utilisateur pour éviter les vulnérabilités (par exemple, XSS, SQL Injection, Exécution de Code à Distance, etc).

    • N'utilisez pas de données sensibles (informations d'identification, mots de passe, des jetons de sécurité, ou des clés API) dans l'URL, mais l'utilisation de la norme Authorization en-tête.

    • Utiliser une API de la Passerelle de service pour activer la mise en cache, Rate Limit politiques (par exemple, des Quotas, Spike Arrestation Simultanée de Limite de fréquence) et de déployer des Api ressources de façon dynamique.

    Traitement

    • Vérifier si tous les points d'accès sont protégés derrière l'authentification pour éviter de rompre le processus d'authentification.

    • Utilisateur propre ID de ressource doit être évitée. Utilisation /me/commandes au lieu de /utilisateur/654321/commandes.

    • Ne pas l'auto-incrémentation de l'IDs. Utiliser l'UUID de la place.

    • Si vous êtes d'analyser des fichiers XML, assurez-vous que l'entité analyse n'est pas permis d'éviter le XXE (XML entité externe attaque).

    • Si vous êtes d'analyser des fichiers XML, assurez-vous d'extension d'entité n'est pas permis d'éviter Milliards de Rire/XML bombe par exponentielle entité expansion de l'attaque.

    • L'utilisation d'un CDN pour les uploads de fichier.

    • Si vous traitez avec l'énorme quantité de données, le recours à des Travailleurs et des Files d'attente de processus autant que possible en arrière-plan et le retour de la réponse rapide pour éviter de HTTP Blocage.

    • Ne pas oublier de désactiver le DEBUG mode OFF.

    Sortie

    • Envoyer X-Content-Type-Options: nosniff en-tête.

    • Envoyer X-Frame-Options: deny en-tête.

    • Envoyer Content-Security-Policy: default-src 'none' en-tête.

    • Supprimer les empreintes des en-têtes - X-Powered-By, Server, X-AspNet-Version etc.

    • Force content-type pour votre réponse, si vous retournez application/json alors votre réponse content-type est application/json.

    • Ne renvoie pas les données sensibles comme les informations d'identification, mots de passe, des jetons de sécurité.

    • Retourner le bon code d'état en fonction de l'opération réalisée. (par exemple,200 OK, 400 Bad Request, 401 Unauthorized, 405 Method Not Allowed, etc).

    • Belle liste, bien qu'un peu opiniâtre et il commence avec un non-sens à mon humble avis: "N'utilisez pas l'Authentification Basique Utilisation standard d'authentification (par exemple, JWT, OAuth)." Vous ne pouvez pas obtenir plus de la norme-y que l'Authentification Basique, et il a sa place, surtout pour les Api, où les clients ne sont pas des navigateurs (pour les navigateurs JWT est généralement plus approprié). OAuth sur l'autre main est à l'aide de toute une autre série de compromis pour l'authentification et n'est pas vraiment comparable à l'Authentification Basique et JWT.
    • Vous avez raison, BasicAuth avec HTTPS est commune, mais c'est l'objet de débats - security.stackexchange.com/questions/988/... . Je vais supprimer ce point de toute façon.
    InformationsquelleAutor Andrejs
  5. 43

    Je suis un peu surpris de SSL avec des certificats client n'a pas encore été mentionnés. Accordé, cette approche n'est vraiment utile que si vous pouvez compter sur la communauté des utilisateurs sont identifiés par des certificats. Mais un certain nombre de gouvernements ou de sociétés de faire question à leurs utilisateurs. L'utilisateur n'a pas à se préoccuper de la création pourtant, un autre nom d'utilisateur/mot de passe, et l'identité est établie sur chaque connexion afin que la communication avec le serveur peut être entièrement apatrides, pas de sessions d'utilisateur requis. (Ne signifie pas que l'une ou l'autre des solutions mentionnés ont besoin de séances)

    • Nous avons réellement faire de l'utiliser pour des intégrations ainsi que les tunnels vpn chiffrés à l'appui des systèmes plus anciens que nous n'avons pas de contrôle ne peut communiquer via le protocole https.
    • Les certificats clients peuvent créer des ennuis lorsque vous avez besoin d'équilibrage de la charge... il peut être fait, mais c'est moins simple.
    • Le contraire a été mon expérience avec les certificats clients parce qu'ils sont vraiment apatrides. Client cert connexions authentifiées peuvent être équilibrés en charge avec un muet d'équilibrage de la charge, sans égard à la connexion de l'abonnement car ils nécessitent absolument aucun état partagé entre le client et le serveur.
    • Oh, vous pouvez le faire.... vous pouvez juste avoir l'équilibrage de la charge de transmettre le trafic TCP, mais vous ne pouvez pas, par exemple, ont l'équilibrage de la charge d'être le point de résiliation pour le SSL.
    • Est-il encore sûr si le certificat du client et de son autorité racine auto-signé? L'autorité racine sera importé dans le client de confiance des autorités de certification racine.
    InformationsquelleAutor stinkymatt
  6. 37

    Tout le monde dans ces réponses a négligé vrai contrôle de l'accès ou de l'autorisation.

    Si par exemple votre Api REST /services web sont sur l'Affichage /GETing des dossiers médicaux, vous pouvez définir le contrôle d'accès policie sur qui peut accéder aux données et dans quelles circonstances. Par exemple:

    • les médecins peuvent OBTENIR le dossier médical d'un patient qu'ils ont une relation de soins avec
    • nul ne pouvez publier des données médicales à l'extérieur des heures de pratique (par exemple de 9 à 5)
    • les utilisateurs peuvent OBTENIR les dossiers médicaux personnels ou les dossiers médicaux des patients pour lesquels ils sont les gardiens
    • les infirmières peuvent mettre à JOUR le dossier médical d'un patient qui appartient à la même unité que l'infirmière.

    Afin de définir et de mettre en œuvre ces fine des autorisations, vous aurez besoin d'utiliser un attribut de contrôle d'accès basé langue appelée XACML, eXtensible Access Control Markup Language.

    Les autres normes sont ici pour la suite de:

    • OAuth: id. de la fédération et de la délégation d'autorisation, par exemple en laissant une loi sur le service sur mon compte sur un autre service (Facebook peut poster sur mon Twitter)
    • SAML: la fédération d'identité /web SSO. SAML est très bien à propos de qui est l'utilisateur.
    • WS-Security /WS-* normes: elles mettent l'accent sur la communication entre les services SOAP. Elles sont spécifiques au niveau de l'application de messagerie format (SOAP) et ils traitent de certains aspects de la messagerie par exemple la fiabilité, la sécurité, la confidentialité, l'intégrité, l'atomicité, des concours... Aucun couvercle de contrôle d'accès et tous sont spécifiques à SAVON.

    XACML est la technologie de l'agnostique. Il peut être appliqué à des applications java, .NET, Python, Ruby... services web, Api REST, et plus encore.

    Les éléments suivants sont des ressources intéressantes:

    • Je ne comprends pas pourquoi tu ne peux pas mettre en œuvre de système de jetons qui vous permettra d'obtenir de l'utilisateur et de ses permissions, qui sera essentiellement la même chose?
    • Vous pouvez prendre un jeton d'approche. Qui fonctionne bien aussi, mais vous avez encore besoin de la logique qui définit les autorisations des utilisateurs, en d'autres termes, les autorisations pour l'insérer à l'intérieur du jeton. C'est ce que XACML peut vous aider à atteindre. Elle évite également de jeton de ballonnement.
    • Comme un autre commentaire, ce n' "9 à 5" de contribuer à la sécurité? Comme si les attaquants ne sont actives que la nuit? Sans parler des graves implications de l'utilisation, comme si les médecins ne travaillent "9 à 5".
    • C'est une exigence commune dans les soins de santé des scénarios. Découvrez HL7, par exemple. Il y a briser le verre scénarios trop dans le cas où un médecin a besoin de l'accès en dehors des heures. Comme pour les pirates, une fois qu'ils sont dans tous les paris sont éteints
    • Si vous ne l'avez pas encore, j'aurais un coup d'oeil à la block chain solutions pour la manipulation des autorisations.
    • Certains de mes collègues sont à étudier en effet. Merci @SimplyG.

    InformationsquelleAutor David Brossard
  7. 25

    J'ai utilisé OAuth à quelques reprises, et a également utilisé d'autres méthodes (de BASE/DIGEST). De tout cœur je vous suggère d'authentification OAuth. Le lien suivant est le meilleur tutoriel que j'ai vu sur l'utilisation de l'authentification OAuth:

    http://hueniverse.com/oauth/guide/

    • Bien que ce est une très vieille réponse concernant OAuth 1.0, il est intéressant de noter que l'auteur du lien que vous citez avait ceci à dire au sujet de OAuth 2.0: "je suis arrivé à la conclusion que le protocole OAuth 2.0 est un mauvais protocole...en comparaison avec OAuth 1.0, 2.0 spécification est plus complexe, moins interopérables, moins utiles, plus incomplète, et surtout, de moins en sécurité.". Pour être clair, le commentaire que je viens de citer a été faite plusieurs années après que vous avez posté votre réponse.
    InformationsquelleAutor Rob Ottaway
  8. 17

    L'un des meilleurs postes que j'ai jamais rencontré en matière de Sécurité, en tant qu'elle concerne le REPOS est plus à 1 Goutte de pluie. Le MySpace de l'API utiliser OAuth aussi pour la sécurité et la vous avez un accès complet à leurs chaînes sur mesure dans le RestChess code, j'ai fait beaucoup d'exploration. C'était la démo serais au Mélange et vous pouvez trouver l'affichage ici.

    • Merci pour le lien (1 Goutte) - discussion très intéressante de sécurité comme il se rapporte à SAVON v RESTE
    InformationsquelleAutor degnome
  9. 15

    Merci pour les excellents conseils. Nous nous sommes retrouvés à l'aide d'un en-tête HTTP personnalisé pour passer un jeton d'identité du client pour le service, en préparation pour l'intégration de notre API RESTful avec la la prochaine Zermatt Identité framework de Microsoft. J'ai décrit le problème ici et notre solution ici. J'ai également pris tweakt's conseils et acheté Les Services Web RESTful - un très bon livre si vous êtes la construction d'une API RESTful d'aucune sorte.

    • Cette approche semble louche pour moi. Qu'est ce qui empêche un attaquant d'utiliser le jeton d'identité pour se faire passer pour le client? HTTPS n'est pas de protéger les URL ou les en-têtes de la dernière fois que j'ai vérifié...
    • Hmmm...pas sûr que vous avez raison à ce sujet. Je crois qu'à l'exception des quelques en-têtes nécessaires pour comprendre quel type de cryptage est nécessaire, tous les autres en-têtes sont cryptées.
    • Ce qui est mauvais. HTTPS protège de TOUT. Ça se passe: connexion TCP... poignée de main TLS... <CHIFFRÉS> GET /foo 200 OK... démontage </CRYPTÉ>.
    • J'ai aussi utilisé des en-têtes personnalisés pour passer un jeton.
    • Notez que vous pouvez également passer un jeton comme un cookie (au lieu d'un en-tête personnalisé). Il se comporte bien dans les navigateurs, car il utilise un en-tête HTTP à la norme des comportements dans la plupart des boîtes à outils et des applications. Sur le côté service, le cookie ne doit pas se rapportent à une session, vous pouvez l'utiliser pour communiquer n'importe quel jeton que vous souhaitez.
    • Nathan, votre problème et de la solution des liens sur le githubs sont partis. Avez-vous prévu de les envoyer quelque part? Thx.
    • Je suis désolé, je n'ai pas - je ne travaille pas .NET plus et que mon .NET d'hébergement de blog lapse, donc, hélas, ils sont partis pour toujours. Désolé.
    • La Wayback Machine est une belle chose: description du problème et solution

    InformationsquelleAutor Nathan
  10. 14

    OWASP(Open Web Application Security Project) a quelques feuilles de triche couvrant tous les aspects du développement de l'Application Web. Ce Projet est très précieuse et fiable source d'information.
    En matière de REPOS des services vous pouvez le vérifier: https://www.owasp.org/index.php/REST_Security_Cheat_Sheet

    InformationsquelleAutor WelsonJR
  11. 7

    Je recommanderais OAuth 2/3. Vous pouvez trouver plus d'informations à http://oauth.net/2/

    • Nous expliquer pourquoi vous recommandons la version 2 quand il reste largement incomplète? À mon humble avis, la version 1.0 a reste une solution solide pour la plupart des applications.
    InformationsquelleAutor Abhijit Gaikwad
  12. 6

    J'ai beaucoup cherché sur reposante ws sécurité et nous avons également terminé avec l'aide jeton par l'intermédiaire de cookies du client vers le serveur pour authentifier les demandes . J'ai utilisé le printemps de sécurité pour l'autorisation des demandes de service parce que j'ai eu pour authentifier et autorisé chaque demande basée sur les politiques de sécurité qui a déjà été en DB.

    InformationsquelleAutor Parisa Kachoui
  13. 6

    Le fait que le SAVON monde est assez bien couvert avec les normes de sécurité ne signifie pas qu'il est sécurisé par défaut. En premier lieu, les normes sont très complexe. La complexité n'est pas une très bonne amie de la sécurité et de la mise en œuvre des vulnérabilités telles que XML signature d'emballage attaques sont endémiques ici.

    Comme pour l' .NET de l'environnement, je n'aidera pas beaucoup, mais “La création de services web avec Java” (une brique avec ~10 auteurs) m'a aidé à beaucoup dans la compréhension de la WS-* architecture de sécurité et, en particulier, ses bizarreries.

    InformationsquelleAutor kravietz
  14. 4

    RESTE même n'offre pas de normes de sécurité, mais des choses comme OAuth et SAML sont rapidement en train de devenir les normes dans cet espace. Cependant, l'authentification et l'autorisation sont seulement une petite partie de ce que vous devez considérer. De nombreuses vulnérabilités connues concernant les applications web s'appliquent très bien à l'api REST. Vous devez tenir compte de validation de la saisie, de la session de fissuration, inapproprié des messages d'erreur, des employés internes des vulnérabilités et ainsi de suite. C'est un grand sujet.

    InformationsquelleAutor Robert Morschel
  15. 4

    Je veux ajouter(en ligne avec stinkeymatt), solution la plus simple serait d'ajouter des certificats SSL pour votre site. En d'autres termes, assurez-vous que votre url est: https://. Qui couvrira la sécurité des transports (bang for the buck). RESTful url, l'idée est de rester simple (contrairement à WS* sécurité/SAML), vous pouvez utiliser oAuth2/openID connect ou même l'Authentification Basique (dans les cas simples). Mais vous aurez toujours besoin de SSL/HTTPS. Veuillez vérifier ASP.NET Web API 2 sécurité ici: http://www.asp.net/web-api/overview/security (Articles et Vidéos)

    InformationsquelleAutor Manish Jain
  16. 3

    Comme @Nathan fini avec, qui est un simple en-Tête HTTP, et certains ont dit OAuth2 côté client et des certificats SSL. L'essentiel, c'est ce... votre API REST ne devriez pas avoir à gérer la sécurité que devrait vraiment être à l'extérieur de la portée de l'API.

    Au lieu d'une couche de sécurité doit être mis sur le dessus de celui-ci, c'est un en-Tête HTTP derrière un proxy web (une approche commune comme SiteMinder, Zermatt ou même d'Apache HTTPd), ou aussi compliqué que OAuth 2.

    La clé, c'est la demande devrait fonctionner sans fin-l'interaction de l'utilisateur. Tout ce qui est nécessaire est de s'assurer que la connexion à l'API REST est authentifié. Dans Java EE, nous avons la notion de userPrincipal qui peut être obtenu sur un HttpServletRequest. Il est également géré dans le descripteur de déploiement d'un modèle d'URL peut être sécurisé pour le RESTE code de l'API n'a pas besoin de contrôle plus.

    Dans la WCF monde, je voudrais utiliser ServiceSecurityContext.Current pour obtenir le contexte de sécurité actuel. Vous avez besoin de configurer votre application pour exiger l'authentification.

    Il existe une exception à la déclaration que j'avais au-dessus et c'est l'utilisation d'un nonce pour prévenir les replays (qui peuvent être des attaques ou quelqu'un vient de soumettre deux fois les mêmes données). Cette partie ne peuvent être traitées que dans la couche application.

    InformationsquelleAutor Archimedes Trajano
  17. 3

    Pour la Sécurité des Applications Web, vous devriez jeter un oeil à OWASP (https://www.owasp.org/index.php/Main_Page) qui fournit cheatsheets pour diverses attaques de sécurité. Vous pouvez incorporer de nombreuses mesures possibles pour la sécurité de votre Application.
    À l'égard de l'API de sécurité (autorisation, d'authentification, de gestion de l'identité), il existe de multiples façons comme déjà mentionné (Basic,Digest et OAuth). Il y a des trous de boucle dans OAuth1.0, de sorte que vous pouvez utiliser OAuth1.0a (OAuth2.0 n'est pas largement adopté en raison de préoccupations avec la spécification)

    InformationsquelleAutor java_geek
  18. 2

    Il a été un moment mais la question est toujours d'actualité, même si la réponse peut-être un peu changé.

    Une Passerelle API serait un flexible et hautement configurable solution.
    J'ai testé et utilisé KONG un peu et vraiment aimé ce que j'ai vu. KONG fournit un admin API REST de son propre que vous pouvez utiliser pour gérer les utilisateurs.

    Express-passerelle.io est plus récente et est également une Passerelle API.

    InformationsquelleAutor Matt Bannert