Безопасно ли использовать $_SERVER['REMOTE_ADDR'] для допуска к API?

Question

[akdes]

Добрый день.
Пишу небольшую API для двух сервисов
1. Админка
2. Frontend
т.к. в скором времени Frontend разобьётся на несколько сервисов, хочу предусмотреть это в API:
Думал давать доступ по Ключу и адресу, откуда идёт запрос. Т.е. в БД есть связка из API_Token и RemoteAdress "myApp.com" или "127.0.0.2" из $_SERVER['REMOTE_ADDR']
отсюда вопрос, насколько безопасно данное решение?

Может ли кто посоветовать более умное/безопасное решение контроля допуска по айпи/домену?
И на сколько это вообще реально, если запросы идут например от Angular(IP-Юзвера а не App-Server)? Нужно писать "Request-Forwarder", который висит над Angular и шлёт дальше запросы на сервис...

Цель: Недопустить использования API извне, за исключением Whitelisted.

Заранее благодарен за Ваш опыт и советы.

Answer 1

[xmoonlight]

если запросы идут например от Angular(IP-Юзвера а не App-Server)

Недопустить использования API извне, за исключением Whitelisted.

Два противоречащих друг другу правила.

Вы можете давать:
1. публичный (когда токен не нужен).
2. авторизованный доступ (когда клиент уже залогинился и получил токен для доступа к API, затем обратился к API, подписав запрос выданным токеном при логоне)
3. закрытый - двухфакторная авторизация с динамическим ключом (когда формула генерации динамического токена для подписи запроса выдана через иной канал: почту или ещё как-то)

Других вариантов для API - нет.

Comments

[akdes]

из песни слова не выдерайте :)

если запросы идут например от Angular(IP-Юзвера а не App-Server)? Нужно писать "Request-Forwarder", который висит над Angular и шлёт дальше запросы на сервис...

- который будет иметь свой "серверный" IP

Я Вам благодарен за Ваш ответ, однако вы затрагиваете иную тему.

Мой вопрос: как ограничить доступ только для определённых айпи и достаточно ли безопасна функция $_SERVER['REMOTE_ADDR']?

[xmoonlight]

akdes: функция достаточно безопасна, но советую сделать шифрование данных в запросе к API (даже если Вы собираетесь это "завернуть" в SSL!)
Т.к., контроль соединения с принимающей стороны (интерфейса API) - это одно, а возможность просмотра трафика MiTM-стороной - это совсем другое.