保护AJAX消耗的API

Question

我有一个REST JSON API（内置于.NET），需要由以下客户端使用（通过HTTPS）：

1. SPA网站（AJAX）
2. 移动应用程序

一切（API，SPA网站，移动应用程序）都在内部。

通常对于API，我会使用基本身份验证，但很明显，一旦将API打开到AJAX，安全性就会变得棘手。

关于“保护”API的注意事项 - 我主要想停止使用黑客攻击/锤击API，而且数据并非完全超私有。

以下是我想到的解决方案：

1. 什么都不做。保持打开状态，但使用限制/速率限制来阻止我的API被删除。
2. 创建一个AJAX调用需要经过的中间人服务器。显然这意味着有额外的延迟，加倍代码等。
3. 在客户端/服务器之间使用带有nonce和商定的消息格式的HMAC身份验证，并且只允许来自一组允许域的CORS。 （是的，我知道Origin标头可以被欺骗）。

我倾向于选项3.由于我们通过HTTPS，请求无法被嗅探，但显然我可以简单地转到SPA应用程序，弹出Fiddler并查看HMAC消息，但是nonce将停止重播攻击。显然，如果有人倾向于这样，他们可以为SPA应用程序下载 minified JS，找到AJAX调用发生的位置，并以某种方式找出HMAC格式。这是我能看到的唯一缺点。

我能就此提出一些建议吗？

由于

Answer 1

我认为您有很好的想法来保护您的Web API。以下是一些额外的想法：

• 您应该更喜欢基于令牌的身份验证而不是基本身份验证。这允许添加expirations，刷新，...我写了一篇关于这个主题的文章：https://templth.wordpress.com/2015/01/05/implementing-authentication-with-tokens-for-restful-applications/
• 如果您在其中存储安全上下文，您还应该注意可能的XSS for SPA。如果您选择保留基本身份验证，则它并不真正适用，因为浏览器会为您保留此上下文。以下是有关此类方面的一些链接：What are (if any) the security drawbacks of REST Basic Authentication with Javascript clients?和Is there any safe way to keep rest auth token on the client side for SPA?。请注意，像Angular这样的JS框架提供了支持以防止这种情况发生。
• 使用速率限制也是一件好事。它将为刮板黑客提供保护。您可以查看此级别的Restlet以获取建议：http://restlet.com/technical-resources/restlet-framework/guide/2.3/extensions/apispark/firewall。
• 选项3可能有点强，但您可以实现一种安全机制，如AWS使用/提供的安全机制（基于签名）。它使用访问密钥标识符对请求进行签名（请参阅此链接http://docs.aws.amazon.com/AmazonS3/latest/dev/RESTAuthentication.html）。 Restlet中的这个类可以为您提供有关实现的提示：https://github.com/restlet/restlet-framework-java/blob/master/modules/org.restlet.ext.crypto/src/org/restlet/ext/crypto/internal/AwsUtils.java。

我认为如果你使用/考虑/实现部分或全部机制，你将对你的Web API有一个非常好的身份验证和安全性; - ）

希望它可以帮到你， 亨利