WebAPI安全与认证授权 学习笔记

一,两种类型的防护方式:

1.REST(表述性状态传递) API 安全防护:

  REST API 使用 HTTP 并且支持传输层安全性(TLS)加密(HTTPS)。TLS 是确保互联网连接私密性的一个标准,可以检查两个系统(服务器与服务器或服务器与客户端)之间发送的数据是否受到加密且未被篡改。

2.SOAP(简单对象访问协议) API 安全防护:

  也被称为 Web 服务安全性(WS 安全性)的内置协议。这类协议会定义一套采用保密和身份验证的规则集。SOAP API 支持两大国际标准机构(结构化信息标准促进组织(OASIS)万维网联盟(W3C)制定的标准,它们结合使用 XML 加密、XML 签名和 SAML 令牌来验证身份和授权。通常而言,SOAP API 因具有更加全面的安全措施而受到推崇,但它们也需要更多的管理。因此,处理敏感数据的机构更推荐采用 SOAP API。

二,初步了解加强 API 安全性的方法:

  1.使用令牌。建立可信的身份,再通过使用分配给这些身份的令牌来控制对服务和资源的访问。

  2.使用加密和签名。通过 TLS 等方式(见上文)加密您的数据。要求使用签名,确保只有拥有权限的用户才能解密和修改您的数据。

  3.识别漏洞。确保操作系统、网络、驱动程序和 API 组件保持最新状态。使用嗅探器来检测安全问题并跟踪数据泄露。

  4.使用配额和限流。对 API 的调用频率设置限额,并跟踪其使用记录。如果 API 调用数量增多,表明它可能正被滥用。也可能是编程出了错。

  5.使用 API 网关。API 网关担当主要的 API 流量策略执行点。好的网关既能帮助您验证流量的使用者身份,也能控制和分析您的 API 使用情况。

    a.API 密钥,单一令牌字符串

    b.基础身份验证(APP ID / APP 密钥),双令牌字符串解决方案(即用户名和密码)。

    c.OpenID Connect(OIDC),基于主流 OAuth 框架的简单身份层

 三,API 防护的三个方面:

  信息安全

  网络安全

  应用安全。

四,API网关:

  不是API必须的功能。集成了路由策略、负载均衡、流量管控、API启用时段、黑白名单、认证、授权、日志等一些常见功能,可以自己写或者使用阿里、腾讯等厂商的功能。

  常见网关技术:Ocelot

  常见授权技术:ids4(IdentityServer4)

  常见认证技术:略

  相关技术:REDIS

五,令牌认证示例——JWT(Token)

  

六,授权示例——自定义授权系统 

   

学习文档:

https://www.redhat.com/zh/topics/security/api-security

https://www.cnblogs.com/caofanqi/p/12219241.html

https://www.163.com/dy/article/GMJ6V87U0538F7B5.html

posted @ 2021-10-20 13:00  ꧁执笔小白꧂  阅读(175)  评论(0编辑  收藏  举报