wystawianie API, a bezpieczeństwo

pytanie zadane 20 stycznia 2020 w PHP przez XiverKi Bywalec (2,050 p.)

dzien dobry,

jak to jest z wystawianiem api dla własnej aplikacji front endowej.

przykładowo, budujemy apke, która składać się bedzie z backendu w php, który wystawia api restowe
oraz front endu napisanym np w Vue.js

jak to jest z bezpieczeństwem i pozyskiwaniem danych?

bo wychodzi na to, osoba, która po takiej aplikacji się porusza i wyciągnie dostęp do endpointów jest w stanie umieszczać rekordy w bazie lub wyciągać dane nawet z wykorzystaniem postmana

czy nie powinnismy sie jakos przed tym zabezpieczać?

3 odpowiedzi

odpowiedź 20 stycznia 2020 przez Aisekai Nałogowiec (42,190 p.)

Krótko mówiąc: musisz udostępnić mechanizm logowania po stronie systemu RESTowego. Czy wykorzystasz tutaj sesje, czy nie, nie ma większego znaczenia (w znaczeniu zabezpieczenia serwera, natomiast ma znaczenie jeśli chodzi o bezpieczeństwo i skalowalność). Frontend, ma być tylko ułatwieniem dla końcowego użytkownika pozwalając na wygodne manipulowanie danymi. Co nie zmienia faktu, że również powinien być zabezpieczony przed możliwością wykradzenia wrażliwych danych (session cookie, jwt itd), wstrzyknięcia Js czy ataków typu Csrf.

REST ma to do siebie, że nie dba o to czy żądanie wysyła twoja strona, postman czy aplikacja mobilna. Więc powinieneś zaimplementować i zabezpieczyć mechanizm logowania po stronie RESTa, oraz po stronie frontendu.

odpowiedź 20 stycznia 2020 przez Paweł Nąckiewicz Nałogowiec (48,990 p.)

Nie wiem jak jest z backendem w php ale za pewnie jest coś co pomaga w bezpieczeństwie aplikacji. Jeśli chodzi o backend pisany w Javie (z takim miałem doczynienia) jest tam fajna biblioteka dla springa - Spring Security. Możemy dodawać różne adnotacje przed metodami aby sprawdzić czy ten ktoś ma prawa do danych z API. Tu możesz poczytać więcej o tych adnotacjach. W skrócie kod wygląda wtedy tak:

@PreAuthorize("hasRole(@role.canReadWrite())")
 public String getHello(){
         return "Hello";
 }

odpowiedź 20 stycznia 2020 przez Mariusz08 Maniak (62,300 p.)

Jeśli sa to dane ogólnodostępne (załóżmy publiczne dane czyli np lista użytkowników na forum) to nie ma sensu takiego czegoś zabezpieczać.

Jeśli są to endpointy które przykładowo operują na bazie danych robiąc inserty, dropy itd. to trzeba taki endpoint zabezpieczyć. Najczęstszym rozwiązaniem jest system JWT (JSON Web Token) który jest generowany po stronie serwera i klient aby dostać się do takiego endpointa musi ten JWT przysłać do serwera. Wtedy następuje sprawdzanie czy token jest aktualny i czy ten token ma uprawnienia do wykonania takiej akcji w systemie.

komentarz 20 stycznia 2020 przez XiverKi Bywalec (2,050 p.)

No tak ale taki token w aplikacji front endowej i tak bedzie widoczny czyż nie?
Wysyłany post do serwera musi go w sobie zawierać więc nie będzie problemu aby go przechwycić

komentarz 20 stycznia 2020 przez Mariusz08 Maniak (62,300 p.)

Będzie widoczny, ale jeśli token jest powiązany z użytkownikiem, który i tak może wykonywać dane akcje, to co to za różnica czy robi to z frontendu czy po prostu śle zapytania do API?