WebAPI安全与认证授权 学习笔记
一,两种类型的防护方式:
1.REST(表述性状态传递) API 安全防护:
REST API 使用 HTTP 并且支持传输层安全性(TLS)加密(HTTPS)。TLS 是确保互联网连接私密性的一个标准,可以检查两个系统(服务器与服务器或服务器与客户端)之间发送的数据是否受到加密且未被篡改。
2.SOAP(简单对象访问协议) API 安全防护:
也被称为 Web 服务安全性(WS 安全性)的内置协议。这类协议会定义一套采用保密和身份验证的规则集。SOAP API 支持两大国际标准机构(结构化信息标准促进组织(OASIS)和万维网联盟(W3C)制定的标准,它们结合使用 XML 加密、XML 签名和 SAML 令牌来验证身份和授权。通常而言,SOAP API 因具有更加全面的安全措施而受到推崇,但它们也需要更多的管理。因此,处理敏感数据的机构更推荐采用 SOAP API。
二,初步了解加强 API 安全性的方法:
1.使用令牌。建立可信的身份,再通过使用分配给这些身份的令牌来控制对服务和资源的访问。
2.使用加密和签名。通过 TLS 等方式(见上文)加密您的数据。要求使用签名,确保只有拥有权限的用户才能解密和修改您的数据。
3.识别漏洞。确保操作系统、网络、驱动程序和 API 组件保持最新状态。使用嗅探器来检测安全问题并跟踪数据泄露。
4.使用配额和限流。对 API 的调用频率设置限额,并跟踪其使用记录。如果 API 调用数量增多,表明它可能正被滥用。也可能是编程出了错。
5.使用 API 网关。API 网关担当主要的 API 流量策略执行点。好的网关既能帮助您验证流量的使用者身份,也能控制和分析您的 API 使用情况。
a.API 密钥,单一令牌字符串
b.基础身份验证(APP ID / APP 密钥),双令牌字符串解决方案(即用户名和密码)。
c.OpenID Connect(OIDC),基于主流 OAuth 框架的简单身份层
三,API 防护的三个方面:
信息安全
网络安全
应用安全。
四,API网关:
不是API必须的功能。集成了路由策略、负载均衡、流量管控、API启用时段、黑白名单、认证、授权、日志等一些常见功能,可以自己写或者使用阿里、腾讯等厂商的功能。
常见网关技术:Ocelot
常见授权技术:ids4(IdentityServer4)
常见认证技术:略
相关技术:REDIS
五,令牌认证示例——JWT(Token)
六,授权示例——自定义授权系统
学习文档:
https://www.redhat.com/zh/topics/security/api-security
https://www.cnblogs.com/caofanqi/p/12219241.html
https://www.163.com/dy/article/GMJ6V87U0538F7B5.html
本文来自博客园,作者:꧁执笔小白꧂,转载请注明原文链接:https://www.cnblogs.com/qq2806933146xiaobai/p/15428436.html