API security là sự bảo vệ cho các API của bạn sở hữu hoặc đang sử dụng. Đó là những chiến lược, giải pháp để ngăn chặn, giảm thiểu các lỗ hổng bảo mật và các rủi ro do việc sử dụng API mang tới.
1.Token API
- Token API là một phần rất quan trọng. Để gọi được các API theo business hay check security bạn cần hiểu cơ chế sinh ra token trong hệ thống của mình.
- Thường Token được sinh ra sau khi gọi API Login – Gọi là Token Login.
- Token Login sẽ được cấu trúc dưới dạng JWT token. Vậy JWT là gì? Có thể tham khảo thêm tại đây https://jwt.io/introduction/.
2. Authentication
- Authentication là xác định danh tính của 1 tài khoản đăng nhập vào hệ thống đáng tin cậy.
- VD : Khi bạn Login vào hệ thống bằng:
– User name : A
– Password = A@123
Thì phải thỏa mãn điều kiện sau:
– User name & Password phải được đăng ký trước đó thành công.
– Dữ liệu trên server cũng như trên DB có ghi nhận tài khoản A với password là A@123 có tồn tại.
3. Authorization
- Authentication là xác đinh Role (chức vụ) của 1 tài khoản đăng nhập vào hệ thống.
- VD : Tài khoản A với password là A@123 có tồn tại. Và đồng thời trên server cũng như DB sẽ ghi nhận tài khoản này với các thông tin như sau:
– Login vào hệ thống với role là gì?
– Tài khoản được phép nhìn thấy gì?
– Tài khoản được làm những gì trong hệ thống?
4. Token Session
- Bất kì 1 token nào được sinh ra và có session timeout thì token đó sẽ là token rất quan trọng, 99% nó sẽ được dùng để goi các API tiếp theo.
5. Các trường hợp quan trọng dành riêng cần để chạy Token
- Check expire date của token.
- Token và ID (có thể là user ID , transaction ID,…) phải cùng 1 bộ data có rằng buộc với nhau.
- Token có tồn tại trong hệ thống và thuộc vào Request API mà bạn đang goi.
- Token có tồn tại trong hệ thống nhưng không thuộc vào Request API mà bạn đang goi.
- Truyền 1 token không tồn tại vào Request API mà bạn đang gọi.
- Cố tình chỉnh sửa Token bằng cách: xóa bớt ký tự hoặc chỉnh sửa token -> Tác động làm nó bị sai.
- Không truyền Token vào Request API mà bạn đang gọi.