API 安全最佳实践

当下的数字化环境中，应用程序编程接口（API）在实现不同系统和应用程序之间的通信和数据交换中扮演着关键角色。然而，API 的开放性也带来了潜在的安全挑战。因此，确保强大的 API 安全机制对于保护敏感信息和维护系统的完整性至关重要。在本篇文章中，我们将深入研究 API 的安全性，并通过使用 C# 的实际示例探索一些基本机制。

API安全简介

API 安全是为了防范未经授权的访问、数据泄露以及其他潜在风险而采取的一系列实践和技术。如果没有足够的安全措施，API 很容易受到各种威胁，包括数据泄露、拒绝服务攻击和恶意利用。

认证与授权

身份验证是验证尝试访问 API 的用户或应用程序身份的过程，而授权是根据经过身份验证的用户的权限，决定是否授予或拒绝对特定资源的访问权限。为确保安全，始终实施强大的身份验证机制，例如 JWT、OAuth 或 Open ID 连接。同时，应该实施账户锁定机制来防范暴力攻击。

此外，需要实现基于角色的访问控制（RBAC）或基于声明的授权，以根据用户角色或声明来限制API资源的访问。

[ApiController]
[Route("api/[controller]")]
public class MyController : ControllerBase
{
    [Authorize] // 需要身份验证才能访问此端点
    [HttpGet]
    public IActionResult Get()
    {
        // 逻辑在这里
        return Ok("经过身份验证的用户可以访问此资源.");
    }
}

基于令牌的身份验证

基于令牌的身份验证是一种被广泛使用的方法，通过向已认证的用户颁发唯一令牌，随后 API 请求凭此令牌进行验证。最常用的令牌生成机制是 JWT 令牌（JSON Web Token）。以下是使用 C# 创建 JWT 令牌以对用户进行身份验证的示例。

public IActionResult Authenticate()
{
    var tokenHandler = new JwtSecurityTokenHandler();
    var key = Encoding.ASCII.GetBytes("your_secret_key");
    var tokenDescriptor = new SecurityTokenDescriptor
    {
        Subject = new ClaimsIdentity(new Claim[]
        {
            new Claim(ClaimTypes.Name, "Shubhadeep Chattopadhyay"),
            // 根据需要添加更多
        }),
        Expires = DateTime.UtcNow.AddDays(1),
        SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
    };
    var token = tokenHandler.CreateToken(tokenDescriptor);
    var tokenString = tokenHandler.WriteToken(token);
    return Ok(new { Token = tokenString });
}

API 密钥

API 密钥是授予用户或应用程序以访问特定 API 的唯一标识符。它们充当一种简单的身份验证形式，需要在 API 调用时作为 HTTP 标头信息传递。以下是使用 C# 验证密钥的示例。在实际实现时，逻辑应该是集中的。

[ApiController]
[Route("api/[controller]")]
public class MyController : ControllerBase
{
    private const string ApiKey = "your_api_key";

    [HttpGet]
    public IActionResult Get()
    {
        var apiKey = Request.Headers["Api-Key"].FirstOrDefault();
        if (apiKey != ApiKey)
            return Unauthorized();

        // 这里的逻辑        
        return Ok("在Startup.cs中，将以下内容添加到Configure方法中.");
    }
}

速率限制

速率限制，是对用户或应用程序在特定时间范围内可以向 API 发出请求数量的限制。这有助于防止滥用行为，确保资源被公平合理地利用。

下面是使用 ASP.Net Core 中间件实现速率限制的示例，每分钟仅允许 100 个调用。

public class RateLimitingMiddleware
{
    private readonly RequestDelegate _next;
    private readonly int _requestLimit;
    private readonly TimeSpan _timeFrame;
    private readonly ConcurrentDictionary<string, int> _requestCount = new ConcurrentDictionary<string, int>();

    public RateLimitingMiddleware(RequestDelegate next, int requestLimit, TimeSpan timeFrame)
    {
        _next = next;
        _requestLimit = requestLimit;
        _timeFrame = timeFrame;
    }

    public async Task InvokeAsync(HttpContext context)
    {
        var ipAddress = context.Connection.RemoteIpAddress.ToString();
        var currentTime = DateTime.UtcNow;

        if (_requestCount.TryGetValue(ipAddress, out var count) && (currentTime - TimeSpan.FromMinutes(1)) < _timeFrame)
        {
            if (count > _requestLimit)
            {
                context.Response.StatusCode = (int)HttpStatusCode.TooManyRequests;
                return;
            }

            _requestCount[ipAddress] = ++count;
        }
        else
        {
            _requestCount[ipAddress] = 1;
        }

        await _next(context);
    }
}

// In Startup.cs, add the following to the Configure method:
app.UseMiddleware<RateLimitingMiddleware>(requestLimit: 100, timeFrame: TimeSpan.FromMinutes(1));

输入验证

正确的输入验证对于防止注入攻击和数据操纵至关重要。始终验证和清理传入数据，以确保数据的完整性和安全性。

以下是使用 ASP.NET Core 数据注释进行输入验证的示例。如果请求正文无效，则不会接受并返回错误请求。

public class UserController : ControllerBase
{
    [HttpPost]
    public IActionResult CreateUser([FromBody] User user)
    {
        if (!ModelState.IsValid)
            return BadRequest(ModelState);

        // Your logic to create the user
        return Ok("User created successfully.");
    }
}

public class User
{
    [Required]
    public string Username { get; set; }

    [Required]
    [EmailAddress]
    public string Email { get; set; }

    [Required]
    [StringLength(8, MinimumLength = 4)]
    public string Password { get; set; }
}

TLS/SSL 加密

传输层安全性 (TLS) 或安全套接字层 (SSL) 加密可确保客户端和 API 服务器之间的安全通信。

以下是在 ASP.NET Core 启动类中启用 HTTPS 的示例。

public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        // Other service configurations
        services.AddHttpsRedirection(options =>
        {
            options.HttpsPort = 443; // Default HTTPS port
        });
    }

    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
        // Other app configurations

        app.UseHttpsRedirection();
    }
}

跨域资源共享 (CORS)

CORS 防止未经授权的域外访问您的 API。对于所有开发人员来说，这是非常常见的做法，仅允许特定域请求才能被处理。

以下是在 ASP.NET 中配置 CORS 的示例。

public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        // Other service configurations

        services.AddCors(options =>
        {
            options.AddPolicy("AllowMyDomain", builder =>
            {
                builder.WithOrigins("https://www.knowndoamin.com")
                       .AllowAnyMethod()
                       .AllowAnyHeader();
            });
        });
    }

    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
        // Other app configurations

        app.UseCors("AllowMyDomain");
    }
}

记录和监控

全面的日志记录和监控有助于深入了解 API 的使用情况，发现潜在的安全漏洞和性能问题。

以下是使用 ASP.Net 和 Serilog 启用日志记录的示例。

// In Startup.cs
public class Startup
{
    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
        // Other app configurations

        Log.Logger = new LoggerConfiguration()
            .WriteTo.File("log.txt")
            .CreateLogger();

        app.UseSerilogRequestLogging();

        // More middleware and configurations
    }
}

结论

除了上述流程，API 安全最佳实践还应关注以下四点：

• 定期更新和修补依赖项和库。
• 采用最小权限原则，仅授予必要的权限。
• 使用安全密码散列算法（例如 bcrypt）来存储密码。
• 对关键操作实施双因素身份验证。

在研发流程之外，开发者也可以采用API集成平台更好地关注API安全。比如，API集成平台可以帮助设置访问控制策略，并提供监控和日志记录功能，实时预警，帮助开发者监控API使用情况并及时发现异常行为。

尽管确保 API 安全是一项多方面的任务，但保护敏感数据并维护用户和客户的信任至关重要。本文探讨了 C# 中的各种 API 安全机制，包括身份验证、基于令牌的身份验证、API 密钥、速率限制、输入验证、TLS/SSL 加密、CORS、日志记录和监控。通过整合这些最佳实践，开发人员可以构建强大且安全的 API，从而为更安全的数字生态系统做出贡献。

原文链接：Best Practices of API Security. In today’s interconnected digital… | by Shubhadeep Chattopadhyay | Medium

编译：幂简集成