保护 AJAX 使用的 API

Question

我有一个 REST JSON API（内置于 .NET），需要由以下客户端使用（通过 HTTPS）：

SPA 网站（AJAX）
移动应用程序

一切（API、SPA 网站、移动应用程序）都在内部。

通常对于 API，我会使用基本身份验证，但显然一旦你向 AJAX 开放 API，安全性就会变得棘手。

关于“保护”API 的说明 - 我主要是想阻止爬虫攻击/攻击 API，并且数据并不完全是超私密的。

这是我想到的解决方案：

什么也不做。让它保持打开状态，但使用节流/速率限制来阻止我的 API 被抓取。
创建AJAX调用需要经过的中间人服务器。显然，这意味着存在额外的延迟、代码加倍等。
使用具有随机数和客户端/服务器之间商定的消息格式的 HMAC 身份验证，并且仅允许来自一组允许的域的 CORS。（是的，我知道 Origin 标头可以被欺骗）。

我倾向于选项 3。由于我们通过 HTTPS，请求无法被嗅探，但显然我可以简单地转到 SPA 应用程序，弹出打开 Fiddler 并查看 HMAC 消息，但随机数将阻止重放攻击。显然，如果有人有这种倾向，他们可以下载 SPA 应用程序的 minified JS，找到 AJAX 调用发生的位置，并以某种方式找出 HMAC 格式。这是我能看到的唯一缺点。

我可以就此提供一些建议吗？

Answer 1

我认为您有保护 Web API 安全的好主意。以下是一些额外的想法：

您应该更喜欢基于令牌的身份验证而不是基本身份验证。这允许添加过期、刷新……我写了一篇关于这个主题的文章：https://templth.wordpress.com/2015/01/05/implementing-authentication-with-tokens-for-restful-applications/
如果您在其中存储安全上下文，您还应该小心 SPA 可能存在的 XSS。如果您选择保留基本身份验证，它实际上并不适用，因为浏览器会为您保留此上下文。以下是有关这些方面的一些链接：使用 Javascript 客户端进行 REST 基本身份验证的安全缺点是什么（如果有）？和是否有任何安全的方法可以在客户端保留 SPA 的其余身份验证令牌？。请注意，像 Angular 这样的 JS 框架提供了支持来防止这种情况发生。
使用速率限制也是一件好事。它将为爬虫黑客行为提供防护。您可以查看此级别的 Restlet 以获取建议：http://restlet.com/technical-resources/restlet-framework/guide/2.3/extensions/apispark/firewall。
选项 3 可能有点强，但您可以实现一种安全机制，例如 AWS 使用/提供的安全机制（基于签名）。它使用访问密钥标识符对请求进行签名（请参阅此链接 http://docs.aws.amazon.com/AmazonS3/latest/dev/RESTAuthentication.html）。 Restlet 中的此类可以为您提供有关实现的提示：https://github.com/restlet/restlet-framework-java/blob/master/modules/org.restlet.ext.crypto/src/org/restlet/ext /crypto/internal/AwsUtils.java.

我认为，如果您使用/考虑/实现部分或全部机制，您的 Web API 将会获得相当好的身份验证和安全性；-)

希望对您有帮助，蒂埃里

保护 AJAX 使用的 API

问题描述投票：0回答：1

1个回答

最新问题

保护 AJAX 使用的 API

问题描述 投票：0回答：1

1个回答

最新问题

问题描述投票：0回答：1