Ako zabezpečiť svoje API rozhranie?

ako zabezpecit api rozhranie
Čo to vlastne je API rozhranie a prečo je potrebné ho zabezpečiť? Nikdy ste o tom nepočuli? Nevadí, v tomto článku sa dozviete viac.

API (Application Programming Interfaces) sú softvérové ​​stavebné bloky, ktoré zabezpečujú komunikáciu a prenos dát medzi dvoma aplikáciami. V momente ak použijete akúkoľvek aplikáciu ako napríklad Facebook použijete API.

Ak prevádzkujete systém na serveri, ktorý ponúka API rozhranie, tento mechanizmus určite potrebujete nastaviť. On totiž zabezpečuje aby váš server nemohol využívať niekto, kto nemá. S tým vám pomôže mechanizmus Cross-Origin Resource Sharing (CORS).

Znie to jednoducho, ako to však nastaviť?

Tento mechanizmus sa nastavuje na úrovni servera, pre každý request musí server v odpovedi pribaliť aj CORS hlavičky (headers), v ktorých určí pravidlá. V týchto pravidlách vieme určiť API metódy, hlavičky a URL klientov ktoré sú povolené.

Ak máte server aj klienta na rovnakej doméne, všetky requesty sú vždy povolené pretože nedochádza k cross-origin ale same-origin requestu. Pre same-origin requesty sa tento mechanizmus nevzťahuje.

cors_example

Ak máte script klienta, ktorý je script type=“module”, spojenie so serverom bude vyžadovať nastavenie CORS mechanizmu. Ak script klienta nie je type=“module”, nevyžaduje sa nastavenie tohto mechanizmu. Historicky totiž prehliadače nevyžadovali tieto bezpečnostné hlavičky. Preto ak máte niekde vo vašom webe starý script, spojenie so serverom by malo byť inak zabezpečené.

Ukážka pravidiel pre server na inej doméne napr: https://wame-server.sk a klienta na doméne napr: https://wame.sk

Access-Control-Allow-Origin: https://wame.sk

Access-Control-Allow-Methods: GET, POST, OPTIONS

Access-Control-Allow-Headers: Content-type, Accept

Kam máte vložiť tieto pravidlá? Odpoveď sa líši podľa toho na akom engine je postavený váš systém na serveri, existujú na to štandardizované konfiguračné postupy: https://enable-cors.org/server.html

Čo ak ste sa rozhodli pre váš server použiť napríklad systém Laravel? Každý takýto framework väčšinou ponúka v svojej dokumentácií návod ako na to. Laravel to má rovnako popísané vo svojej docs: https://laravel.com/docs/11.x/routing#cors

Ako je to s hybridnými mobilnými aplikáciami?

Všetky hybridné mobilné aplikácie sú script type=“module” takže sa vyžaduje nastavenie týchto hlavičiek na serveri. Avšak ak mobilná aplikácia nie je pripojená k doméne tak ako web, preto je potrebné API zabezpečiť iným spôsobom, napríklad autorizačným kľúčom alebo SSL pinningom.

Zdroje:

https://enable-cors.org

https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

https://masteringlaravel.io/daily/2024-03-07-something-to-know-if-serving-scripts-for-other-sites

wame logo

Tvoríme e-shopy, aplikácie a informačné systémy

Mohlo by Vás zaujímať

V dňoch 27-28.2.2024 sme s WAME zdieľali naše know-how z vývoja webov Magento, Prestashop a webových i mobilných aplikácií na najväčšom e-commerce veľtrhu v Českej republike "CzechOn-lineExpo". Okrem príjemného stretnutia s dlhoročnými klientmi, sme spoznali aj nových partnerov, ich požiadavky na weby i aplikácie a odhalili sme smerovanie e-commerce trhu v najbližších rokoch.
Stretávame sa s klientmi, ktorí uvažujú medzi open-source, e-shopom na mieru alebo krabicovým riešením. Preto sme sa rozhodli venovať práve tejto téme na Ecommerce Bridge a objasniť si najčastejšie mýty a fakty. V našom blogu vysvetlíme čo vám jednotlivé riešenia môžu priniesť a v čom vás môžu v budúcnosti obmedzovať.
24. novembra 2023 sa o 00:00:01hod. rozbehne celosvetová reklamná kampaň roka - Black Friday. Veľa tovaru, úžasné zľavy a akcie, a hlavne veľký nápor kupujúcich na online trh. Veľká príležitosť výhodne nakúpiť a v neposlednom rade hlavne predať. Ako sa však na BLACK FRIDAY správne pripraviť z pohľadu e-shopu?