Ở bài viết sau đây, Nobody sẽ giới thiệu đến bạn một số phương pháp giúp bảo mật REST API tốt và hiệu quả nhất.
Bất kỳ một REST API nào cũng đều có khả năng bị lạm dụng bởi các tác nhân gây hại.
Do vậy mà khi xây dựng các REST API, chúng ta cần đề ra chính sách bảo mật cho chúng một cách kỹ lưỡng nhất.
Bên dưới là một số phương pháp mà bạn có thể tham khảo để ứng dụng vào việc bảo mật các REST API cho chính mình.
Sử dụng OAuth2 cho SSO với OpenID Connect
Trước khi đi vào chi tiết của phương pháp bảo mật REST API này, chúng ta sẽ cùng tìm hiểu cụ thể về 03 khái niệm OAuth2 - SSO - OpenID Connect:
OAuth2
OAuth2 (Open with Authentication or Authorization) là một phương thức chứng thực - ủy quyền, cho phép ứng dụng bên thứ ba truy cập vào các tài nguyên được bảo vệ của người dùng.
Qua đó, chúng có khả năng thực hiện việc chia sẻ các tài nguyên này với nhau, mà người dùng sẽ luôn được bảo mật về thông tin đăng nhập và danh tính của mình.
SSO
SSO (Single Sign-On) là một cơ chế cho phép người dùng truy cập nhiều ứng dụng mà chỉ cần đăng nhập một lần duy nhất.
OpenID Connect
Đây là một framework được sử dụng cho mục đích xác thực trên nền tảng OAuth2.
Trong OpenID Connect, luồng yêu cầu sẽ xảy ra như sau:
- Người dùng sẽ được điều hướng tới máy chủ ủy quyền từ ứng dụng khách.
- Người dùng nhập thông tin của mình cho việc xác thực danh tính.
- Sau khi đã xác thực thành công, yêu cầu của người dùng sẽ được gửi lại cho máy khách cùng với mã ủy quyền.
- Ứng dụng khách yêu cầu máy chủ ủy quyền cho mã thông báo.
- Máy chủ ủy quyền phản hồi lại thông qua mã thông báo.
Và bây giờ, chúng ta sẽ cùng đi chi tiết vào phương pháp bảo mật REST API thông qua việc sử dụng OAuth2 cho SSO với OpenID Connect:
Việc sử dụng SSO đem lại các lợi ích như sau:
- Ứng dụng không cần phải tự quản lý thông tin, nên dữ liệu cần lưu trữ sẽ giảm xuống và khi xảy ra trường hợp vi phạm thì việc bị lộ thông tin người dùng có khả năng cực kỳ thấp.
- Giúp tránh việc thực hiện đăng nhập - đăng xuất và xác thực đa yếu tố.
- Giảm xung đột khi đăng ký, tức lượng người dùng sẽ tăng lên.
Chúng ta có thể triển khai xác thực trên OAuth2 thông qua việc tìm nạp thông tin nhận dạng người dùng duy nhất như địa chỉ email.
Tuy nhiên, phương pháp tốt nhất nếu muốn bảo mật REST API đó chính là sử dụng OpenID Connect được xây dựng trên OAuth2, cung cấp một giao thức cho mục đích xác thực người dùng.
Luôn sử dụng TLS
TLS (Transport Layer Security) - bảo mật lớp truyền tải, là một yếu tố mà mọi web API đều nên sử dụng.
Nó được tạo ra cho mục đích bảo vệ thông tin mà API gửi đi và nhận từ người dùng bằng cách mã hóa các tin nhắn khi chúng được chuyển tiếp.
Nếu không sử dụng TLS, ứng dụng bên thứ ba có thể chặn và đọc các thông tin nhạy cảm (đăng nhập REST API, dữ liệu cá nhân người dùng...) khi chuyển tiếp, khiến mọi biện pháp xác thực của chúng ta bị suy yếu.
Hãy cho phép máy chủ quản lý chứng chỉ mà TLS yêu cầu. Việc này sẽ giúp cho mọi thứ trở nên đơn giản và các lệnh gọi REST API cũng sẽ được bảo mật một cách tự động.
Cấp quyền riêng biệt với từng API Key
Người dùng được cấp quyền truy cập API cho rất nhiều lý do khác nhau.
Không phải mọi điểm cuối REST API đều cần đến quyền truy cập tài khoản cụ thể và đầy đủ của người dùng.
Mỗi API Key sẽ được quy định và cấu hình từng cấp độ quyền khác nhau.
Muốn thực hiện được việc này, chúng ta cần lưu trữ quyền trong cơ sở dữ liệu cùng với các API Key dưới dạng danh sách chuỗi.
Bên cạnh đó, đơn giản hóa chúng ngay từ đầu với “read” và “write”.
Sau cùng, thêm một phần mềm trung gian để yêu cầu tìm nạp người dùng.
Riêng với REST API, hãy cấp quyền cụ thể cho API Key và kiểm tra mã thông báo.
