如何只接受来自我自己的应用程序的请求?

时间:2019-04-07 19:25:27

标签: javascript android node.js rest api

所以我想知道如何仅确保对我的静态api的CRUD操作仅由我自己的应用程序接受,而不受外部人员接受?我的应用程序由制作RESTful API的Node js后端和与RESTful API进行通信的前端Android组成。我见过JWT令牌,但是它仅适用于登录系统,但是我有一个没有登录系统的应用程序。

之所以这样,是因为我不想让局外人通过POSTMAN甚至在我的api上读取或写入数据。如何确保使用我的应用的人可以对我的API执行CRUD操作?

1 个答案:

答案 0 :(得分:1)

WHO和访问API服务器之间的区别

在我们了解解决您的问题的选项之前,我想澄清一下开发人员之间关于 WHO What 正在访问API服务器的常见误解。< / p>

为了更好地了解 WHO What 在访问API服务器之间的区别,让我们使用以下图片:

Man in the Middle Attack

预期的通信渠道表示合法用户没有任何恶意意图就可以使用您期望的移动应用程序,它使用的是未修改版本的移动应用程序,并且可以直接与API服务器通信,而不会受到中间人的攻击。

实际渠道可能代表几种不同的情况,例如具有恶意意图的合法用户可能正在使用移动应用程序的重新打包版本,黑客使用了移动应用程序的真实版本,而中间人则在进行攻击,了解移动应用程序与API服务器之间的通信是如何进行的,以便能够自动对您的API进行攻击。可能还有许多其他情况,但是我们在这里不逐一列举。

我希望到现在为止您可能已经知道为什么 WHO What 不同的地方,但是如果不一样的话,一会儿就会明白。

WHO 是我们可以通过多种方式(例如使用OpenID Connect或OAUTH2流)进行身份验证,授权和标识的移动应用程序的用户。

  

OAUTH

     

通常,OAuth代表资源所有者向客户端提供对服务器资源的“安全委派访问”。它为资源所有者指定了一个在不共享凭据的情况下授权第三方访问其服务器资源的过程。 OAuth专为与超文本传输​​协议(HTTP)配合使用而设计,实质上允许在资源所有者的批准下,授权服务器将访问令牌发布给第三方客户端。然后,第三方使用访问令牌访问资源服务器托管的受保护资源。

     

OpenID Connect

     

OpenID Connect 1.0是OAuth 2.0协议之上的简单身份层。它允许客户端根据授权服务器执行的身份验证来验证最终用户的身份,并以可互操作且类似于REST的方式获取有关最终​​用户的基本配置文件信息。

尽管用户身份验证可能会让API服务器知道 WHO 正在使用API​​,但不能保证请求源自您期望的 What 。移动应用。

现在,我们需要一种方法来识别正在调用的API服务器,这使得事情变得比大多数开发人员想象的要棘手。 内容是向API服务器发出请求的内容。它是移动应用程序的真正实例,还是使用诸如Postman之类的工具通过API服务器手动访问的机器人,自动脚本或攻击者?

让您感到惊讶的是,您可能最终发现它可能是使用重新打包的移动应用程序版本或试图游戏化并利用该应用程序提供的服务的自动脚本的合法用户之一。

好吧,为了确定内容,开发人员倾向于求助于通常会在其移动应用程序代码中进行硬编码的API密钥。一些开发人员花了很多功夫,并在移动应用程序中在运行时计算密钥,因此与将静态机密嵌入代码中的前一种方法相反,它成为了运行时机密。

以上文章摘录自我写的一篇文章,题为《 为什么您的移动应用程序需要API密钥?”,因此您可以完整阅读here,即有关API密钥的系列文章中的第一篇。

您的问题

  

所以我想知道如何仅确保对我的静态api的CRUD操作仅由我自己的应用程序接受,而不受外部人员接受?

保护和锁定API服务器到您自己的应用程序不是一件容易的事,因为用于识别 WHO What 的任何机密对于攻击者而言都相对容易抢。您可以阅读文章How to Extract an API Key from a Mobile App by Static binary analysis,其中我将展示如何借助几种开放源代码工具提取它们,例如使用Mobile Security Framework,或者您可以阅读另一篇文章Steal that API Key with a Man in the Middle Attack,使用开源工具MiTM Proxy在中间攻击中发动一个人以提取API密钥。

现在,您可能已经意识到,保护API服务器免遭攻击者滥用非常困难,因为在他们提取秘密以识别 WHO What < / strong>正在发出请求,他们可以使用您关注的工具Postman或任何其他工具来攻击您的API服务器,并假装为合法的 WHO WHAT < / strong>。

您现在可能会问...我该如何保护我的API服务器?

捍卫API服务器

作为最佳实践,移动应用程序或Web应用程序应仅与您控制下的API服务器通信,并且对第三方API服务的任何访问都必须由您控制的同一API服务器来完成。通过这种方式,您可以将攻击面限制在一个地方,在那里您将采用防御所需要保护的多层防御系统。

您可以从reCaptcha V3开始,然后是Web Application Firewall(WAF),最后如果可以负担得起User Behavior Analytics(UBA)解决方案。

Google reCAPTCHA V3

  

reCAPTCHA是一项免费服务,可保护您的网站免受垃圾邮件和滥用的侵害。 reCAPTCHA使用高级风险分析引擎和适应性挑战,以防止自动化软件参与您网站上的滥用行为。这样做是为了让您的有效用户轻松通过。

     

...可帮助您检测网站上的滥用流量,而不会引起用户的摩擦。它会根据与您网站的互动情况返回得分,并为您提供更大的灵活性以采取适当的措施。

WAF - Web Application Firewall

  

Web应用程序防火墙(或WAF)过滤,监视和阻止与Web应用程序之间的HTTP通信。 WAF与常规防火墙的区别在于,WAF能够过滤特定Web应用程序的内容,而常规防火墙充当服务器之间的安全门。通过检查HTTP流量,它可以防止源自Web应用程序安全漏洞的攻击,例如SQL注入,跨站点脚本(XSS),文件包含和安全性错误配置。

UBA - User Behavior Analytics

  

Gartner定义的用户行为分析(UBA)是一个有关检测内部威胁,针对性攻击和财务欺诈的网络安全流程。 UBA解决方案着眼于人类行为模式,然后应用算法和统计分析从这些模式中检测出有意义的异常,即表明潜在威胁的异常。 UBA不会跟踪设备或安全事件,而是跟踪系统的用户。像Apache Hadoop这样的大数据平台通过允许它们分析PB级的数据来检测内部威胁和高级持久威胁,正在增强UBA功能。

所有这些解决方案都基于否定性识别模型,换句话说,他们通过识别出什么是不好的而不是什么是好的来尽最大的努力将好与坏区别开来,因此尽管存在以下缺点,它们还是容易出现误报的情况其中一些人使用了先进的技术,例如机器学习和人工智能。

因此,您可能经常会发现自己不必放松放松如何阻止对API服务器的访问以不影响良好用户。这也意味着该解决方案需要进行持续监控,以验证误报不会阻止您的合法用户,同时又能正确阻止未经授权的用户。

关于为移动应用程序提供服务的API,可以通过使用移动应用程序证明解决方案来使用肯定的识别模型,该解决方案向API服务器保证可以信任请求,而不会产生误报。

移动应用证明

移动应用程序证明服务的作用是在运行时通过在后台运行将与云中运行的服务进行通信的SDK来确保您的移动应用程序未被篡改或未在有根设备中运行证明移动应用程序和设备正在运行的完整性。

在成功证明移动应用程序完整性之后,将发布并使用一个秘密的短期生存JWT令牌进行签名,该秘密只有云中的API服务器和移动应用程序证明服务可以识别。如果移动应用程序证明失败,则会使用API​​服务器不知道的秘密对JWT令牌进行签名。

现在,应用程序必须随每个API一起发送,并在请求的标头中调用JWT令牌。这将允许API服务器仅在可以验证JWT令牌中的签名和到期时间时才处理请求,而在验证失败时拒绝它们。

一旦移动应用程序不知道移动应用程序证明服务使用的机密,即使在应用程序被篡改,在有根设备上运行或通过连接进行通信时,也无法在运行时对其进行反向工程成为中间攻击中一名男子的目标。

移动应用证明服务已经作为Approov的SAAS解决方案存在(我在这里工作),该服务为多个平台(包括iOS,Android,React Native等)提供SDK。集成还需要在API服务器代码中进行少量检查,以验证由云服务发出的JWT令牌。对于API服务器来说,必须进行此检查才能决定要处理的请求和拒绝的请求。

总结

  

之所以这样,是因为我不想让局外人通过POSTMAN甚至在我的api上读取或写入数据。

Well Postman默认情况下使用自定义的HTTP标头,因此很容易阻止来自它的请求,但这仅在用户未禁用Postamn的此功能且攻击者始终禁用它们的情况下才有效,因此此措施不会非常有效,而且一旦Postman成为唯一的工具,您需要在防御上比这更复杂。

  

如何确保使用我的应用的人可以对我的API执行CRUD操作?

我想您是说,仅使用该应用的人可以执行CRUD操作。

最后,必须根据要保护的内容的价值以及此类数据的法律要求(例如欧洲的GDPR法规)来选择用于保护API服务器的解决方案。

所以我的建议是您实施一个移动应用证明解决方案,因为它是一个可以解决您的问题的积极模型。