日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
如何在云環(huán)境中建立一個(gè)安全的API設(shè)計(jì)?

 在云計(jì)算環(huán)境中建立一個(gè)安全的API設(shè)計(jì)是一項(xiàng)具有挑戰(zhàn)性的工作。在本文中,安全研究專家Dejan Lukan介紹了企業(yè)在開(kāi)發(fā)安全API時(shí)需要記得的若干事項(xiàng)。

為萬(wàn)榮等地區(qū)用戶提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù),及萬(wàn)榮網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為成都做網(wǎng)站、成都網(wǎng)站制作、萬(wàn)榮網(wǎng)站設(shè)計(jì),以傳統(tǒng)方式定制建設(shè)網(wǎng)站,并提供域名空間備案等一條龍服務(wù),秉承以專業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶的要求,就會(huì)得到認(rèn)可,從而選擇與我們長(zhǎng)期合作。這樣,我們也可以走得更遠(yuǎn)!

一個(gè)應(yīng)用程序編程接口(API)是對(duì)已經(jīng)正常運(yùn)行應(yīng)用程序的一個(gè)簡(jiǎn)單擴(kuò)展,以便于幫助用戶以編程的方式與之進(jìn)行交互。

使用API的原因是各種各樣的,其中包括從數(shù)據(jù)庫(kù)中提取數(shù)據(jù)、將數(shù)據(jù)發(fā)送并保存至數(shù)據(jù)庫(kù),以及推送任務(wù)至隊(duì)列中,但是它們的主要目的是為了幫助用戶通過(guò)使用程序或腳本程序以自動(dòng)化的方式與應(yīng)用程序進(jìn)行交互。當(dāng)在一個(gè)沒(méi)有API支持的虛擬環(huán)境中工作時(shí),每一步的操作都必須由用戶手動(dòng)調(diào)用。如果系統(tǒng)中有著數(shù)以千計(jì)的虛擬機(jī),那么在每一臺(tái)虛擬機(jī)上都必須由用戶手動(dòng)單獨(dú)執(zhí)行每一個(gè)操作的后果是可想而知的。這個(gè)過(guò)程將是緩慢而繁瑣的,這也是API被應(yīng)用于此的價(jià)值所在,即它們可以為用戶提供與應(yīng)用程序的自動(dòng)化交互而不需要執(zhí)行任何的手動(dòng)操作。

在本文中,我們將研究API是如何在云計(jì)算環(huán)境中工作的,其中包括不同的類型、它們的具體角色以及在云計(jì)算中開(kāi)發(fā)安全API的最佳實(shí)踐的總結(jié)。

API的類型

當(dāng)規(guī)劃設(shè)計(jì)一個(gè)API時(shí),保持一定的大局觀是非常重要的。無(wú)論何時(shí)通過(guò)通訊通道發(fā)送消息時(shí),都需要按照某種協(xié)議(即一組發(fā)送方和接收方均已知曉的規(guī)則)對(duì)消息進(jìn)行正確的處理。為了實(shí)現(xiàn)通過(guò)互聯(lián)網(wǎng)傳送API消息安全性的最大化,我們應(yīng)使用一個(gè)安全的協(xié)議。在通過(guò)網(wǎng)絡(luò)把消息發(fā)送至服務(wù)器端之前,安全協(xié)議會(huì)在客戶端對(duì)待發(fā)送數(shù)據(jù)進(jìn)行加密處理,而當(dāng)消息發(fā)送完畢后,安全協(xié)議則將在服務(wù)器端對(duì)已接收的消息數(shù)據(jù)進(jìn)行解密并執(zhí)行下一步的處理。以下是一些可用于通過(guò)互聯(lián)網(wǎng)安全發(fā)送消息的協(xié)議,如:HTTPS、POPS、IMAPS、SMTPS、LDAPS、XMPPS等等。

因?yàn)榘l(fā)送消息所使用的數(shù)據(jù)格式對(duì)安全性并沒(méi)有什么影響,所以消息中的數(shù)據(jù)可以以多種格式來(lái)表示。通常情況下,消息的數(shù)據(jù)格式為XML、JSON或HTML(而在使用ZAProxy的情況下是上述三種格式),所以最終用戶在與應(yīng)用程序進(jìn)行交互時(shí)可以做一選擇。在API應(yīng)用中,有一點(diǎn)是最為重要的,即它們對(duì)于多種編程語(yǔ)言都是可擴(kuò)展和可用的。所以如果使用了合適的協(xié)議,用戶就可以很容易地使用任意的編程語(yǔ)言來(lái)編寫程序與API進(jìn)行交互。一個(gè)合適的協(xié)議是可以實(shí)現(xiàn)與應(yīng)用程序的輕松交互的,多年以來(lái)它都是得到良好支持并通過(guò)實(shí)際使用驗(yàn)證的。一個(gè)眾所周知的例子就是HTTP協(xié)議。一些常用于互聯(lián)網(wǎng)消息交換的API類型包括REST、SOAP、XML-RPC以及 JSON-RPC等。

開(kāi)發(fā)一個(gè)新的API

當(dāng)為云計(jì)算應(yīng)用開(kāi)發(fā)一個(gè)全新的應(yīng)用程序編程接口時(shí),解決以下的問(wèn)題將是當(dāng)務(wù)之急:

身份:服務(wù)器是并不會(huì)自動(dòng)識(shí)別首次使用云計(jì)算服務(wù)的用戶的,因此它會(huì)要求進(jìn)行身份證明。通常情況下,它會(huì)要求用戶提供一個(gè)用戶ID或公鑰來(lái)唯一地標(biāo)識(shí)一個(gè)用戶。不幸的是,用戶所提供的信息是公開(kāi)的,因此,攻擊者常被歸類為一個(gè)特定的用戶,但是它們將不能夠決定性地證明這一點(diǎn)。

驗(yàn)證:為了證明一個(gè)用戶的身份,服務(wù)器會(huì)自動(dòng)生成一個(gè)驗(yàn)證問(wèn)題。這個(gè)驗(yàn)證問(wèn)題的答案是用戶唯一知道的,它可以是一個(gè)密碼、密鑰、令牌或者其他別的什么。

授權(quán):一旦用戶證明了他或她的身份,特定應(yīng)用程序就會(huì)請(qǐng)求訪問(wèn)權(quán)限。然后在用戶獲得準(zhǔn)入權(quán)之前,這個(gè)應(yīng)用程序會(huì)核對(duì)這個(gè)用戶是否被允許訪問(wèn)所請(qǐng)求的資源或執(zhí)行所請(qǐng)求的操作。

識(shí)別技術(shù)

應(yīng)用程序是可以使用很多技術(shù)來(lái)識(shí)別和驗(yàn)證用戶的身份的:

用戶名和密碼:一對(duì)用戶名和密碼可通過(guò)基本的或摘要式的驗(yàn)證方式來(lái)提供用戶認(rèn)證。在這兩個(gè)所使用的方法中,在HTTP請(qǐng)求中傳送的密碼是非加密格式的,所以如有必要,可使用一個(gè)諸如HTTPS這類的安全通訊通道。

會(huì)話:當(dāng)用戶名和密碼被發(fā)送至應(yīng)用程序時(shí),應(yīng)用程序就會(huì)以一個(gè)cookie作為響應(yīng),之后這個(gè)cookie就會(huì)在所有的后續(xù)識(shí)別請(qǐng)求中被發(fā)送。

證書:可使用一個(gè)公共的或私有的密鑰基礎(chǔ)設(shè)施來(lái)驗(yàn)證用戶身份。這要求服務(wù)器和客戶端都擁有由有效機(jī)構(gòu)簽發(fā)的證書,以用于建立證書的合法性。

開(kāi)放授權(quán):當(dāng)一個(gè)應(yīng)用程序使用另一個(gè)代表用戶的應(yīng)用程序時(shí),一般會(huì)使用OAuth。例如,一個(gè)應(yīng)用程序有一個(gè)“分享至推特”的按鈕,那么它通常就會(huì)使用OAuth。該方法可授權(quán)應(yīng)用程序訪問(wèn)推特的API,而無(wú)需透露應(yīng)用程序的密碼。

自定義身份驗(yàn)證方案:可使用一個(gè)自定義驗(yàn)證方案通過(guò)一個(gè)專用的協(xié)議來(lái)識(shí)別和驗(yàn)證用戶。一個(gè)專用的協(xié)議通常并不是一個(gè)有利的選擇,因?yàn)樗皇窃谝粋€(gè)應(yīng)用程序中使用。已知的協(xié)議通常都是更好的,因?yàn)橛脩羰煜に鼈?,可以最大限度減少用戶學(xué)習(xí)的時(shí)間。一個(gè)自定義驗(yàn)證方案應(yīng)當(dāng)由一支頂級(jí)的安全團(tuán)隊(duì)來(lái)具體實(shí)施,因?yàn)檫@是一個(gè)復(fù)雜而易出錯(cuò)的過(guò)程。

API密鑰:在首次發(fā)送請(qǐng)求至服務(wù)器且在此之前會(huì)話還未建立時(shí),可在用戶的身份和驗(yàn)證中使用API密鑰。簡(jiǎn)單來(lái)說(shuō),API密鑰就是一個(gè)只被在服務(wù)器端運(yùn)行的應(yīng)用程序所知的唯一的長(zhǎng)令牌,客戶端會(huì)在API請(qǐng)求中發(fā)送這個(gè)API密鑰。API密鑰的方法要比用戶名密碼的方法更好,因?yàn)榍罢叩男畔㈧馗?,它能夠更好地保護(hù)系統(tǒng)免受黑客攻擊以及有限度地泄漏敏感信息。

結(jié)論

這些技術(shù)基礎(chǔ)支撐著安全API的開(kāi)發(fā),尤其是當(dāng)開(kāi)發(fā)一個(gè)定制API時(shí)或者甚至當(dāng)使用一個(gè)云計(jì)算供應(yīng)商的API時(shí)。

當(dāng)選擇一家云計(jì)算服務(wù)供應(yīng)商(CSP)時(shí),應(yīng)確定它是否能夠提供API。此后,API將在實(shí)現(xiàn)程序或腳本程序自動(dòng)化的過(guò)程中證明其價(jià)值。CSP應(yīng)當(dāng)擁有合適的文檔和安全測(cè)試結(jié)果,以證明其API設(shè)計(jì)和安全的合法性。

使用定制API,聘請(qǐng)一位安全顧問(wèn)或滲透測(cè)試師來(lái)定期測(cè)試API;在API正式進(jìn)入生產(chǎn)階段以及每次重大代碼發(fā)布之前對(duì)API進(jìn)行測(cè)試是非常關(guān)鍵的。這樣做將有助于消除API被用于惡意攻擊從而對(duì)應(yīng)用程序用戶的安全性造成不利影響的弱點(diǎn)。


本文標(biāo)題:如何在云環(huán)境中建立一個(gè)安全的API設(shè)計(jì)?
URL網(wǎng)址:http://www.5511xx.com/article/cdggdhs.html