वेब एपीआई को सुरक्षित करने के लिए सर्वोत्तम अभ्यास क्या हैं?

15

मुझे अपने सर्वर और डेटाबेस (ASP.Net MVC 4 में, लेकिन यह शायद ही संभव हो) के साथ बातचीत करने के लिए हमारे मोबाइल ऐप के लिए एक वेब सेवा एपीआई बनाने की आवश्यकता है। अधिकांश कार्यों के लिए उपयोगकर्ताओं को हमारी सेवा के साथ पंजीकृत होने की आवश्यकता नहीं है, हम केवल हमारे ऐप के उपयोगकर्ताओं तक पहुंच को प्रतिबंधित करना चाहते हैं।

यह सुनिश्चित करने के लिए क्या तरीके हैं कि कहीं और से किए गए कॉल (जैसे कोई हमारे सभी डेटा चाहते हैं, या एक अनौपचारिक ऐप का निर्माण करना) अस्वीकार कर दिया गया है?

मेरा प्रारंभिक विचार डिवाइस के लिए एक टोकन के लिए सर्वर से पूछने के लिए है, जो यादृच्छिक रूप से उत्पन्न होता है और जैसा कि भेजा जाता है। अन्य सभी विधियाँ जाँचेंगी कि अनुरोध शीर्षलेखों में एक विशिष्ट एक है जो नमकीन टोकन के md5 हैश होगा। सर्वर टोकन और नमक को जानता है और हैश की गणना करने में सक्षम है और भेजे गए के साथ तुलना करता है। इसके अलावा, एक सीमित जीवन काल के रूप में टोकन, और डिवाइस को हर दूसरे घंटे एक दूसरे को प्राप्त करना होगा।

यह लागू करना काफी आसान लगता है और हालांकि शायद 100% प्रमाण नहीं है, यह एक अच्छा विचार है। तुम क्या सोचते हो?

security  web-services 
एंटोनी
स्रोत

जवाबों:

15

जैसे ही आप एप्लिकेशन जारी करते हैं, यह रिवर्स इंजीनियर हो सकता है। इसका मतलब यह है कि आपके द्वारा सभी उपयोगकर्ताओं को एक ही एप्लिकेशन (समान बायनेरिज़, एक ही सेटिंग) वितरित किए जाने पर आप 100% संरक्षित होने के लिए कुछ भी नहीं कर सकते हैं।

यदि आप हर उपयोगकर्ता के लिए एप्लिकेशन को कस्टमाइज़ कर सकते हैं, तो आपके पास अपने एपीआई का उपयोग करने के लिए शायद किसी अन्य एप्लिकेशन को मना करने का मौका नहीं है, लेकिन कम से कम इस एप्लिकेशन को सीमित संख्या में यह एपीआई करने के लिए कर सकता है।

निम्न स्कीमा की कल्पना करें:

  1. क्लाइंट अपने विशिष्ट पहचानकर्ता (उपयोगकर्ता द्वारा एक पहचानकर्ता) को जोड़ता है और भेजता है।
  2. सर्वर एक सार्वजनिक कुंजी के साथ एन्क्रिप्टेड एक चुनौती भेजकर जवाब देता है। यह सार्वजनिक कुंजी पहले भेजे गए विशिष्ट पहचानकर्ता से संबद्ध है।
  3. क्लाइंट एक निजी कुंजी का उपयोग करके डेटा को डिक्रिप्ट करके चुनौती को हल करता है और डिक्रिप्टेड सीक्रेट को सादे सर्वर पर वापस भेजता है।
  4. सर्वर पुष्टि करता है कि प्रस्तुत रहस्य मूल रूप से उत्पन्न एक से मेल खाता है।

जो डेवलपर आपके एप्लिकेशन को हैक करेगा और सफलतापूर्वक निजी कुंजी प्राप्त करेगा, वह आपके एप्लिकेशन से आपके API का उपयोग करने में सक्षम होगा, लेकिन वह आपके सर्वर के लिए स्वयं के रूप में पहचानकर्ता होगा।

यदि एक ही उपयोगकर्ता प्रति दिन आपके एपीआई के लिए 10 000 अनुरोध कर सकता है और औसतन, एक सक्रिय उपयोगकर्ता प्रति दिन 2 000 अनुरोध करता है, तो इसका मतलब है कि यह डेवलपर अपने आवेदन का उपयोग स्वयं करने में सक्षम होगा और शायद अपने दोस्तों को दे, लेकिन वह हजारों लोगों को इसे बेचने, कहने, करने में सक्षम नहीं होगा, सिर्फ इसलिए कि यह केवल कुछ मिनटों के लिए सुबह काम करेगा।

जबकि यह मदद करता है, यह न तो 100% प्रमाण है और न ही। क्या होगा यदि हैकर आपके ऐप से डिवाइस पर अपना स्वयं का ऐप इंस्टॉल करने पर निजी कुंजी निकालने का कोई तरीका ढूंढता है?

साइड नोट जो आपके प्रश्न का उत्तर नहीं देता है, लेकिन फिर भी उपयोगी हो सकता है: अपने प्राथमिक उत्पाद (मोबाइल एप्लिकेशन) के लिए एक उपकरण के रूप में एपीआई के बारे में न सोचेंएक प्रथम श्रेणी के उत्पाद के रूप में इसके बारे में सोचें , एक ऐसा उत्पाद जो भुगतान किया जा सकता है। अमेज़ॅन और Google द्वारा वर्षों के लिए एक ही मॉडल का उपयोग किया जाता है, यह माइक्रोसॉफ्ट द्वारा एज़्योर, आदि के साथ सक्रिय रूप से उपयोग किया जाने लगता है।

जैसे ही आप एपीआई पर विचार करते हैं, जैसा कि आपके चमकदार नए मोबाइल ऐप्स के लिए दासता को कम करने वाला एक द्वितीयक उपकरण नहीं है, लेकिन वास्तविक उत्पाद, उसी स्तर पर, जैसा कि उपयोगकर्ता वास्तव में किसी भी एप्लिकेशन को देखता है, आप एपीआई के खिलाफ सुरक्षा के बारे में कम सोचने लगते हैं। अन्य एप्लिकेशन द्वारा उपयोग, और एपीआई के मुद्रीकरण के बारे में अधिक । ऐसी API का उपयोग आपके ऐप्स द्वारा किया जा सकता है, जो इसके ग्राहक हैं, या किसी भी अन्य ऐप, किसी के द्वारा स्वतंत्र रूप से विकसित किए गए हैं। इसके कई लाभ हैं:

  • एक एपीआई बनाना ताकि इसका उपयोग केवल आपके अनुप्रयोगों द्वारा किया जा सके कठिन और महंगा है। इस समय और धन का उपयोग कुछ अधिक उपयोगी के लिए किया जा सकता है।

  • जनता के लिए अपना एपीआई खोलना आपके और दुनिया दोनों के लिए बहुत लाभकारी हो सकता है। कल्पना कीजिए कि आप एक महान वास्तुकार और एक महान डेवलपर हैं, इसलिए आपने आश्चर्यजनक रूप से शानदार API बनाया है, लेकिन आपका विज़ुअल डिज़ाइनर कौशल चूसना और आप वास्तव में इंटरैक्शन डिज़ाइन आदि के बारे में कुछ भी नहीं समझते हैं। यदि आप अपना एपीआई छिपाते हैं, तो लोगों को पता चल जाएगा कि आपने एक मोबाइल एप्लिकेशन बनाया है जो अनुपयोगी और बदसूरत है। यदि आपका एपीआई सार्वजनिक है, तो अन्य डेवलपर्स इसकी गुणवत्ता से आकर्षित होंगे और इसके लिए शानदार एप्लिकेशन लिखेंगे, जिससे आपको बहुत सारा पैसा मिलेगा।

  • आप कभी कल्पना नहीं करते हैं कि अन्य लोग आपके एपीआई का उपयोग कैसे कर सकते हैं। Kinect के साथ यही हुआ है। मूल रूप से, Microsoft ने गेम्स के लिए Kinect बनाया। जब Microsoft ने जनता के लिए एपीआई खोला, तो उन्होंने कभी नहीं सोचा था कि इसका उपयोग कुछ वर्षों बाद वैज्ञानिक अनुप्रयोगों, स्वास्थ्य क्षेत्र, आदि द्वारा किया जाएगा। यह वेब एपीआई के लिए समान है: अधिक डेवलपर्स इसका उपयोग कर रहे हैं, विचारों का अधिक व्यापक रूप से उपयोग किया जाएगा।

आर्सेनी मूरज़ेंको
स्रोत
बहुत दिलचस्प जवाब। हमें शायद यह सोचने की ज़रूरत है कि हम एपीआई को कैसे सार्वजनिक कर सकते हैं। संदर्भ के लिए भी, फ्रांस में लक्ष्य बाजार, जहां रिवर्स इंजीनियरिंग और डिसइंबेंबलिंग गैरकानूनी है, इसलिए हमें इसके साथ बहुत अधिक सावधानी बरतनी चाहिए।
एंटोनी
2
@ एंटोनी: किसी भी देश में लाइसेंस के प्रतिबंधित होते ही रेवर इंजीनियरिंग अवैध हो जाएगी। लेकिन यह तथ्य कि यह गैरकानूनी है इसका मतलब यह नहीं है कि कोई भी आपके ऐप को इंजीनियर बनाएगा।
आर्सेनी मूरज़ेंको
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.