Есть несколько потребителей API под разные платформы, как ограничить для разных пользователей?

Question

[iliyaisd]

Коллеги, подскажите пожалуйста. Есть API, есть несколько разных десктопных приложений (и будет ещё веб), которые его потребляют. Данные для всех одинаковые. Клиенты могут купить доступ не ко всем приложениям, и необходимо из остальных их не пускать. Ну понятно, что можно передавать на сервер из приложения, откуда мы подключаемся.
Но как застраховаться например от такой схемы: человек где-то раздобыл приложение, к которому он не имеет доступа, и сделал рероутинг запроса. Ну т.е. прописал в фаерволе правило типа если запрос идёт на https://www.example.com/api/endpoint?client=SOME_APP_1, то перенаправлять его на https://www.example.com/api/endpoint?client=SOME_APP_2. Насколько я помню, в каком-нибудь ipfw или сопоставимых по уровню это вообще элементарно делается.
Есть ли какие-то типичные схемы, как этого избежать?
Спасибо.

Comments

[Евгений]

вы же как то идентифицируете пользователя на сервере, например токеном? Почему же не сделать проверку этого токена на принадлежность к определённому кругу сервиса?

[iliyaisd]

klim76, точно так же пользователь может запросить токен для соответствующей платформы, подменив URL.

[Евгений]

iliyaisd, интересная у вас какая то схема - обычно токены не запрашиваются пользователем а присваиваются пользователю сервером при удачной авторизации.
Т.О. получаем: пользователь user1 имеет доступ к сервисам srv1 srv3 и ему при авторизации присвоен некий токен йцукен123, что мешает при получении запроса к апи посмотреть токен запроса сравнить его с базой токенов пользователей узнать - имеет ли доступ этот токен(юзер) доступ к запрашиваемому ресурсу?
З.Ы. или у вас запросы без токенов ходят? :)

[cicatrix]

iliyaisd, вы пишете:

если запрос идёт на https://www.example.com/api/endpoint?client=SOME_APP_1, то перенаправлять его на https://www.example.com/api/endpoint?client=SOME_APP_2.

А ваш api разве не выдаст на запрос от SOME_APP_2 иные данные?

[iliyaisd]

Под "запросить" имелось в виду, что юзер пойдёт на сервис авторизации с логином и паролем и получит назад аксес токен. :) т.е., если юзер подменит параметр в запросе, то сервис просто не узнает, что на самом деле он идёт из неавторизованного приложения.
API всем выдаёт одинаковые данные.

[Евгений]

iliyaisd,

т.е., если юзер подменит параметр в запросе,

если подменит акцесс токен? Oauth 2 и тот не даёт 100% гарантию
Ну если вы решите данную проблему то вам наверное памятник поставят :)

[sim3x]

Передавать на сервер из приложения доп инфу и если один раз пользователь зашел с одного устройства, а потом через секунду с другого предпринимать действия

Усложнить схему возможной утечки приложения

[iliyaisd]

klim76, ну понятно)

sim3x, есть ограничение по числу логинов, т.е. пользователь может иметь например 100 одновременных разрешённых. Это может быть хоть физически одна машина, хоть разные.

[sim3x]

iliyaisd, Так не должно быть

1 машина = 1 токен

[iliyaisd]

sim3x, один коннект - один токен. На машине может быть запущено три разных приложения, каждое из которого будет сидеть с одного юзера, но с разными токенами. Ничто не мешает пользователю запустить неразрешённое приложение, подменить запрос на авторизацию и получить ещё один токен.

[sim3x]

iliyaisd, вот в тот момент, когда юзер хочет получить еще один токен в то приложение, куда он уже получил токен, отзывать права у предыдущего токена

[iliyaisd]

sim3x, в том-то и дело, что это может быть легальный сценарий. Т.е. он должен иметь право получить до Х токенов (в сумме на все доступные приложения), где Х ему прописывается администратором.

[iliyaisd]

(это не очень правильно, но такой вот бизнес кейс был запрошен)

[sim3x]

iliyaisd, еще раз

Есть пользователь - владелец аккаунта с возможностью до 100 коннектов
Авторизируйте его как хотите, хоть токеном, хоть логин-паролем

Но каждый коннект, должен иметь свой токен для доступа

[iliyaisd]

sim3x, так так и есть. Смотрите, два сценария.
а) я запускаю на своей машине 100 авторизованных приложений, получаю на них 100 токенов и работаю. Всё в порядке.
б) я запускаю на своей машине 50 авторизованных приложений и 50 неавторизованных, но в последних подменяю файрволом (или отладчиком) запрос на авторизацию, как будто это авторизованные приложения. Соответственно, получаю на них 50 аксес токенов и тоже работаю.

[sim3x]

iliyaisd,
б) как подменяете авторизацию если кругом все зашифровано?

Answer 1

[Александр]

Авторизация.