Cara Melindungi API Anda dari Permintaan yang Tidak Dibenarkan

API adalah teras aplikasi moden, menghubungkan sistem yang berbeza. Walau bagaimanapun, mereka juga mudah terdedah kepada akses yang tidak dibenarkan dan eksploitasi berniat jahat. Melindungi API memerlukan pelbagai dasar keselamatan, termasuk pengesahan CORS, pengesahan yang kuat, dan pemantauan masa nyata. Artikel ini akan menerangkan beberapa cara untuk memastikan bahawa hanya pelanggan yang dipercayai dapat mengakses API anda.

1. Konfigurasikan COR dengan betul

Perkongsian Sumber Domain (CORS) adalah mekanisme keselamatan utama yang mengawal sumber yang boleh berinteraksi dengan API anda. Konfigurasi COR yang betul dapat mencegah akses yang tidak dibenarkan.

Contoh teras ASP.NET:

 <code class="csharp">builder.Services.AddCors(options => { options.AddPolicy("RestrictedOrigins", policy => { policy.WithOrigins("https://mywebsite.com", "https://trustedpartner.com") // 允许的来源.AllowAnyHeader() .AllowAnyMethod(); }); }); // 应用CORS策略app.UseCors("RestrictedOrigins");</code>

Peraturan penting:

• Elakkan AllowAnyOrigin : Membenarkan semua sumber akan meningkatkan risiko API.
• Jangan gunakan IsOriginAllowed(_ => true) : Ini akan sepenuhnya memintas pengesahan sumber.
• Hadkan kaedah dan tajuk : Hadkan AllowAnyMethod dan AllowAnyHeader ke julat yang diperlukan.

2. Melaksanakan pengesahan identiti dan kebenaran

Pengesahan memastikan bahawa hanya pengguna atau sistem yang diberi kuasa boleh mengakses titik akhir API anda. JSON Web Token (JWT) adalah kaedah yang biasa digunakan.

Langkah Pelaksanaan JWT:

1. Pelanggan menghantar JWT dalam tajuk permintaan:

 <code>Authorization: Bearer <your-jwt-token></your-jwt-token></code>

2. Token Pengesahan sisi pelayan:

 <code class="csharp">app.UseAuthentication(); app.UseAuthorization();</code>

Contoh konfigurasi teras ASP.NET:

 <code class="csharp">builder.Services.AddAuthentication("Bearer") .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidateLifetime = true, ValidateIssuerSigningKey = true, ValidIssuer = "https://mywebsite.com", ValidAudience = "https://mywebsite.com", IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secret-key")) }; });</code>

3. Secara jelas mengesahkan tajuk asal

Walaupun dengan CORS yang dikonfigurasikan, anda boleh mengesahkan tajuk Origin secara manual di middleware sisi pelayan, sambil menambah lapisan keselamatan tambahan.

Contoh:

 <code class="csharp">app.Use(async (context, next) => { string origin = context.Request.Headers["Origin"].ToString(); string[] allowedOrigins = { "https://mywebsite.com", "https://trustedpartner.com" }; if (!string.IsNullOrEmpty(origin) && !allowedOrigins.Contains(origin)) { context.Response.StatusCode = StatusCodes.Status403Forbidden; await context.Response.WriteAsync("Origin not allowed."); return; } await next(); });</code>

4. Blok IPS yang mencurigakan

Permintaan penapis dan blok dari alamat IP yang berniat jahat untuk mengurangkan permukaan serangan.

Contoh middleware:

 <code class="csharp">app.Use(async (context, next) => { string clientIp = context.Connection.RemoteIpAddress?.ToString(); string[] blockedIPs = { "192.168.1.100", "10.0.0.50" }; if (blockedIPs.Contains(clientIp)) { context.Response.StatusCode = StatusCodes.Status403Forbidden; await context.Response.WriteAsync("Blocked IP."); return; } await next(); });</code>

5. Melaksanakan Kadar Mengehadkan

Hadkan bilangan permintaan pelanggan untuk mengelakkan serangan penyalahgunaan dan kekerasan.

Contoh teras ASP.NET:

Pakej Pemasangan:

 <code class="bash">dotnet add package AspNetCoreRateLimit</code>

Had Kadar Konfigurasi:

 <code class="csharp">builder.Services.AddMemoryCache(); builder.Services.Configure<ipratelimitoptions>(options => { options.GeneralRules = new List<ratelimitrule> { new RateLimitRule { Endpoint = "*", Limit = 100, // 请求限制Period = "1m" // 每分钟} }; }); builder.Services.AddInMemoryRateLimiting(); app.UseIpRateLimiting();</ratelimitrule></ipratelimitoptions></code>

6. Semua sambungan Gunakan HTTPS

Memaksa HTTPS untuk memastikan komunikasi yang selamat antara pelanggan dan API.

Konfigurasikan HTTPS dalam Core ASP.NET:

 <code class="csharp">webBuilder.UseKestrel() .UseHttps();</code>

Redirect Traffic Http ke https:

 <code class="csharp">app.UseHttpsRedirection();</code>

7. Memantau dan merekodkan permintaan

Melaksanakan pembalakan, mengesan corak pengecualian, seperti sejumlah besar permintaan dari sumber yang tidak diketahui.

Contoh:

 <code class="csharp">app.Use(async (context, next) => { string origin = context.Request.Headers["Origin"].ToString(); Console.WriteLine($"Request from origin: {origin}"); await next(); });</code>

Gunakan alat seperti pandangan aplikasi, serilog atau timbunan elastik untuk pemantauan komprehensif.

8. Elakkan tindak balas ralat terperinci

Jangan mendedahkan maklumat sensitif dalam mesej ralat, ini akan membantu penyerang.

Contoh:

 <code class="csharp">app.UseExceptionHandler("/error"); // 将错误重定向到安全页面</code>

kesimpulannya

Melindungi API dari permintaan yang tidak dibenarkan memerlukan pelbagai lapisan pertahanan: Konfigurasi COR dengan betul, secara jelas mengesahkan sumber dan tajuk, melaksanakan pengesahan dan mengehadkan kadar, menggunakan HTTPS dan memantau lalu lintas. Berikutan amalan terbaik ini dapat mengurangkan risiko akses yang tidak dibenarkan, memastikan bahawa hanya pelanggan yang dipercayai dapat mengakses API anda.

Atas ialah kandungan terperinci Cara Melindungi API Anda dari Permintaan yang Tidak Dibenarkan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!