Как защитить REST API от невалидных запросов?

Question

Иван Воробей @ivanvorobei

iOS разработчик, канал https://t.me/sparrowcode

Как защитить REST API от невалидных запросов?

Имею:

Rest API на Lumen
Соединение по httpS
Basic авторизацию: Отправляется в хедаре login+password, в ответ приходит JWT c acsess_token (для каждого запроса с малым временем жизни) и refresh_token (для получения нового acsess_token)

Необходимо:
Реализовать архитектуру валидации запроса. Т.е. чтобы знать что запрос пришел именно от "своего" клиента (под клиентом я подразумеваю мобильное приложение). Чтобы ручками в браузере школьники не могли посылать запросы) Получается запрос от клиента должен быть идетицифирован по двум пунктам:

Запрос пришел от валидного клиента
Запрос пришел от валидного пользователя

Можно было...:
Идея была сделать два заголовка в хедаре, и передавать в них два токена: один выдан клиенту, второй выдан пользователю. Но два нельзя, а в url передавать - костыль.
UPD: Можно и два заголовка, распарсить их не проблема. Но нормальное ли это решение?

Итог:
Как сделать без костылей валидацию клиента?

Вопрос задан более трёх лет назад
786 просмотров

3 комментария

Подписаться 3 Оценить 3 комментария

Станислав Макаров @Nipheris

> Т.е. чтобы знать что запрос пришел именно от "своего" клиента (под клиентом я подразумеваю мобильное приложение).
Это не очень хорошая идея в принципе. Почему такая потребность возникла? Какова изначальная задача?

Написано более трёх лет назад
Иван Воробей @ivanvorobei Автор вопроса

Станислав Макаров: почему не очень хорошая? Цель тривиальна: чтобы кто-угодно не мог посылать запросы, только "свои" клиенты.

Написано более трёх лет назад
Станислав Макаров @Nipheris

Иван Воробей Потому что надежное ограничение круга используемых клиентов задача довольно непростая, и редко оправдывается с точки зрения затрат. Возможно, у вас в клиенте реклама, и вы хотите чтобы её смотрели, тогда конечно в этом есть некоторый смысл. Если же вы это делаете ради безопасности, то это плохой путь к ней.

Попробуйте поработать с клиентскими сертификатами. Посмотрите, поддерживает ли http-клиент в вашем стеке технологий использование клиентского сертификата в TLS соединении. И вшейте потом приватный ключ в приложение, чтобы его сложнее было найти. Имхо, это единственный более-менее надежный вариант, т.к. все остальные велосипеды будут подвержены сниффингу и риплей атакам.

Написано более трёх лет назад

> Т.е. чтобы знать что запрос пришел именно от "своего" клиента (под клиентом я подразумеваю мобильное приложение).
Это не очень хорошая идея в принципе. Почему такая потребность возникла? Какова изначальная задача?
Станислав Макаров: почему не очень хорошая? Цель тривиальна: чтобы кто-угодно не мог посылать запросы, только "свои" клиенты.
Иван Воробей Потому что надежное ограничение круга используемых клиентов задача довольно непростая, и редко оправдывается с точки зрения затрат. Возможно, у вас в клиенте реклама, и вы хотите чтобы её смотрели, тогда конечно в этом есть некоторый смысл. Если же вы это делаете ради безопасности, то это плохой путь к ней.

Попробуйте поработать с клиентскими сертификатами. Посмотрите, поддерживает ли http-клиент в вашем стеке технологий использование клиентского сертификата в TLS соединении. И вшейте потом приватный ключ в приложение, чтобы его сложнее было найти. Имхо, это единственный более-менее надежный вариант, т.к. все остальные велосипеды будут подвержены сниффингу и риплей атакам.

Answer 1 · 2016-05-06 12:15:02

Возможно использовать IMEI телефона для того, чтобы проверять телефон ли это. Вот здесь есть база IMEI'ов и API к нему www.imei.info/api/imei/docs Однако существуют программы для замены IMEI, а также для его генерации.

Как защитить REST API от невалидных запросов?

Войдите на сайт