不正なリクエストからAPIを保護する方法

APIは、さまざまなシステムを接続する最新のアプリケーションの中核です。ただし、不正アクセスや悪意のある搾取も受けやすいです。 APIを保護するには、CORS認証、強力な認証、リアルタイム監視など、複数のセキュリティポリシーが必要です。この記事では、信頼できるクライアントのみがAPIにアクセスできるようにするいくつかの方法について説明します。

1. Corsを正しく構成します

クロスドメインリソース共有（CORS）は、どのソースがAPIと相互作用できるかを制御する重要なセキュリティメカニズムです。 CORの正しい構成は、不正アクセスを効果的に防ぐことができます。

ASP.NETコア例：

 <code class="csharp">builder.Services.AddCors(options => { options.AddPolicy("RestrictedOrigins", policy => { policy.WithOrigins("https://mywebsite.com", "https://trustedpartner.com") // 允许的来源.AllowAnyHeader() .AllowAnyMethod(); }); }); // 应用CORS策略app.UseCors("RestrictedOrigins");</code>

重要なルール：

• AllowAnyOrigin避ける：すべてのソースを許可すると、APIリスクが大幅に増加します。
• IsOriginAllowed(_ => true)を使用しないでください：これはソースの検証を完全にバイパスします。
• メソッドとヘッダーを制限する： AllowAnyMethodとAllowAnyHeader必要な範囲に制限します。

2。身元の検証と承認を実装します

認証により、認定されたユーザーまたはシステムのみがAPIエンドポイントにアクセスできるようになります。 JSON Webトークン（JWT）は、一般的に使用される方法です。

JWT実装手順：

1. クライアントは、リクエストヘッダーでJWTを送信します。

 <code>Authorization: Bearer <your-jwt-token></your-jwt-token></code>

2. サーバー側検証トークン：

 <code class="csharp">app.UseAuthentication(); app.UseAuthorization();</code>

ASP.NETコア構成例：

 <code class="csharp">builder.Services.AddAuthentication("Bearer") .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidateLifetime = true, ValidateIssuerSigningKey = true, ValidIssuer = "https://mywebsite.com", ValidAudience = "https://mywebsite.com", IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secret-key")) }; });</code>

3。元のヘッダーを明示的に検証します

CORSが構成されていても、サーバーサイドミドルウェアのOrigin Headerを手動で検証し、セキュリティの追加レイヤーを追加できます。

例：

 <code class="csharp">app.Use(async (context, next) => { string origin = context.Request.Headers["Origin"].ToString(); string[] allowedOrigins = { "https://mywebsite.com", "https://trustedpartner.com" }; if (!string.IsNullOrEmpty(origin) && !allowedOrigins.Contains(origin)) { context.Response.StatusCode = StatusCodes.Status403Forbidden; await context.Response.WriteAsync("Origin not allowed."); return; } await next(); });</code>

4.疑わしいIPSをブロックします

既知の悪意のあるIPアドレスからのリクエストをフィルタリングおよびブロックして、攻撃面を減らします。

ミドルウェアの例：

 <code class="csharp">app.Use(async (context, next) => { string clientIp = context.Connection.RemoteIpAddress?.ToString(); string[] blockedIPs = { "192.168.1.100", "10.0.0.50" }; if (blockedIPs.Contains(clientIp)) { context.Response.StatusCode = StatusCodes.Status403Forbidden; await context.Response.WriteAsync("Blocked IP."); return; } await next(); });</code>

5。レート制限を実装します

虐待やブルートフォース攻撃を防ぐために、クライアントのリクエストの数を制限します。

ASP.NETコア例：

インストールパッケージ：

 <code class="bash">dotnet add package AspNetCoreRateLimit</code>

構成レート制限：

 <code class="csharp">builder.Services.AddMemoryCache(); builder.Services.Configure<ipratelimitoptions>(options => { options.GeneralRules = new List<ratelimitrule> { new RateLimitRule { Endpoint = "*", Limit = 100, // 请求限制Period = "1m" // 每分钟} }; }); builder.Services.AddInMemoryRateLimiting(); app.UseIpRateLimiting();</ratelimitrule></ipratelimitoptions></code>

6.すべての接続はhttpsを使用します

クライアントとAPI間の安全な通信を確保するように強制します。

asp.netコアでhttpsを構成します：

 <code class="csharp">webBuilder.UseKestrel() .UseHttps();</code>

HTTPトラフィックをHTTPSにリダイレクトします。

 <code class="csharp">app.UseHttpsRedirection();</code>

7。リクエストを監視および記録します

ロギングを実装し、不明なソースからの多数のリクエストなど、例外パターンを検出します。

例：

 <code class="csharp">app.Use(async (context, next) => { string origin = context.Request.Headers["Origin"].ToString(); Console.WriteLine($"Request from origin: {origin}"); await next(); });</code>

包括的な監視のために、アプリケーションの洞察、セリログ、弾性スタックなどのツールを使用します。

8。詳細なエラー応答を避けてください

エラーメッセージに機密情報を公開しないでください。これは攻撃者に役立ちます。

例：

 <code class="csharp">app.UseExceptionHandler("/error"); // 将错误重定向到安全页面</code>

結論は

不正な要求からAPIを保護するには、複数の防御層が必要です。CORSを正しく構成し、ソースとヘッダーを明示的に検証し、認証とレートの制限を実装し、HTTPSを使用し、トラフィックを監視します。これらのベストプラクティスに従うことで、不正アクセスのリスクを大幅に減らし、信頼できるクライアントのみがAPIにアクセスできるようにします。

以上が不正なリクエストからAPIを保護する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。