Ako zabezpečiť svoje API rozhranie?

ako zabezpecit api rozhranie
Čo to vlastne je API rozhranie a prečo je potrebné ho zabezpečiť? Nikdy ste o tom nepočuli? Nevadí, v tomto článku sa dozviete viac.

API (Application Programming Interfaces) sú softvérové ​​stavebné bloky, ktoré zabezpečujú komunikáciu a prenos dát medzi dvoma aplikáciami. V momente ak použijete akúkoľvek aplikáciu ako napríklad Facebook použijete API.

Ak prevádzkujete systém na serveri, ktorý ponúka API rozhranie, tento mechanizmus určite potrebujete nastaviť. On totiž zabezpečuje aby váš server nemohol využívať niekto, kto nemá. S tým vám pomôže mechanizmus Cross-Origin Resource Sharing (CORS).

Znie to jednoducho, ako to však nastaviť?

Tento mechanizmus sa nastavuje na úrovni servera, pre každý request musí server v odpovedi pribaliť aj CORS hlavičky (headers), v ktorých určí pravidlá. V týchto pravidlách vieme určiť API metódy, hlavičky a URL klientov ktoré sú povolené.

Ak máte server aj klienta na rovnakej doméne, všetky requesty sú vždy povolené pretože nedochádza k cross-origin ale same-origin requestu. Pre same-origin requesty sa tento mechanizmus nevzťahuje.

cors_example

Ak máte script klienta, ktorý je script type=“module”, spojenie so serverom bude vyžadovať nastavenie CORS mechanizmu. Ak script klienta nie je type=“module”, nevyžaduje sa nastavenie tohto mechanizmu. Historicky totiž prehliadače nevyžadovali tieto bezpečnostné hlavičky. Preto ak máte niekde vo vašom webe starý script, spojenie so serverom by malo byť inak zabezpečené.

Ukážka pravidiel pre server na inej doméne napr: https://wame-server.sk a klienta na doméne napr: https://wame.sk

Access-Control-Allow-Origin: https://wame.sk

Access-Control-Allow-Methods: GET, POST, OPTIONS

Access-Control-Allow-Headers: Content-type, Accept

Kam máte vložiť tieto pravidlá? Odpoveď sa líši podľa toho na akom engine je postavený váš systém na serveri, existujú na to štandardizované konfiguračné postupy: https://enable-cors.org/server.html

Čo ak ste sa rozhodli pre váš server použiť napríklad systém Laravel? Každý takýto framework väčšinou ponúka v svojej dokumentácií návod ako na to. Laravel to má rovnako popísané vo svojej docs: https://laravel.com/docs/11.x/routing#cors

Ako je to s hybridnými mobilnými aplikáciami?

Všetky hybridné mobilné aplikácie sú script type=“module” takže sa vyžaduje nastavenie týchto hlavičiek na serveri. Avšak ak mobilná aplikácia nie je pripojená k doméne tak ako web, preto je potrebné API zabezpečiť iným spôsobom, napríklad autorizačným kľúčom alebo SSL pinningom.

Zdroje:

https://enable-cors.org

https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

https://masteringlaravel.io/daily/2024-03-07-something-to-know-if-serving-scripts-for-other-sites

wame logo

Tvoríme e-shopy, aplikácie a informačné systémy

Mohlo by Vás zaujímať

Chcete, aby váš e-shop predával viac? Máme pre vás 14 praktických tipov, ktoré vám pomôžu zvýšiť predaje a osloviť viac zákazníkov. Zistite, ako optimalizovať váš e-shop pre lepšie výsledky.
Reklamáciám a vratkám sa nevyhnete. Ako ich využiť vo svoj prospech? Vedeli ste, že až 92% zákazníkov nakúpi znova, ak bola ich reklamácia vybavená ľahko? Investícia do dobre nastaveného RMA procesu sa vám vráti v podobe vyšších tržieb a lepšej reputácie.
Bez ohľadu na to, či vyvíjate mobilnú aplikáciu pre iOS, Android alebo obidva platfomy, správne publikovanie v App Store a Google Play je nevyhnutné pre dosiahnutie širokej základne používateľov a úspešný výkon v obchodoch. Viete ako na to?