如何保护您的 API 免受未经授权的请求-C++-PHP中文网

如何保护您的 API 免受未经授权的请求

聖光之護

发布： 2025-01-23 14:20:37

原创

670人浏览过

如何保护您的 api 免受未经授权的请求

API是现代应用的核心，连接着不同的系统。然而，它们也容易遭受未授权访问和恶意利用。保护API需要多重安全策略，包括CORS验证、强身份验证和实时监控。本文将介绍几种方法，确保只有可信客户端才能访问您的API。

1. 正确配置CORS

跨域资源共享(CORS)是关键的安全机制，它控制哪些来源可以与您的API交互。正确配置CORS能有效防止未授权访问。

ASP.NET Core示例:

builder.Services.AddCors(options =>
{
    options.AddPolicy("RestrictedOrigins", policy =>
    {
        policy.WithOrigins("https://mywebsite.com", "https://trustedpartner.com") // 允许的来源
              .AllowAnyHeader()
              .AllowAnyMethod();
    });
});

// 应用CORS策略
app.UseCors("RestrictedOrigins");

登录后复制

重要规则:

避免AllowAnyOrigin: 允许所有来源会极大增加API风险。
不要使用IsOriginAllowed(_ => true): 这会完全绕过来源验证。
限制方法和头部: 将AllowAnyMethod和AllowAnyHeader限制在必需的范围内。

2. 实施身份验证和授权

身份验证确保只有授权用户或系统才能访问您的API端点。JSON Web Token (JWT)是一种常用的方法。

JWT实施步骤:

客户端在请求头中发送JWT：

Authorization: Bearer <your-jwt-token>

登录后复制

服务器端验证令牌：

app.UseAuthentication();
app.UseAuthorization();

登录后复制

ASP.NET Core配置示例:

builder.Services.AddAuthentication("Bearer")
    .AddJwtBearer(options =>
    {
        options.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuer = true,
            ValidateAudience = true,
            ValidateLifetime = true,
            ValidateIssuerSigningKey = true,
            ValidIssuer = "https://mywebsite.com",
            ValidAudience = "https://mywebsite.com",
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secret-key"))
        };
    });

登录后复制

3. 显式验证Origin头部

即使配置了CORS，您也可以在服务器端中间件中手动验证Origin头部，增加额外安全层。

示例:

app.Use(async (context, next) =>
{
    string origin = context.Request.Headers["Origin"].ToString();
    string[] allowedOrigins = { "https://mywebsite.com", "https://trustedpartner.com" };

    if (!string.IsNullOrEmpty(origin) && !allowedOrigins.Contains(origin))
    {
        context.Response.StatusCode = StatusCodes.Status403Forbidden;
        await context.Response.WriteAsync("Origin not allowed.");
        return;
    }

    await next();
});

登录后复制

4. 阻止可疑IP

过滤并阻止来自已知恶意IP地址的请求，减少攻击面。

中间件示例:

app.Use(async (context, next) =>
{
    string clientIp = context.Connection.RemoteIpAddress?.ToString();
    string[] blockedIPs = { "192.168.1.100", "10.0.0.50" };

    if (blockedIPs.Contains(clientIp))
    {
        context.Response.StatusCode = StatusCodes.Status403Forbidden;
        await context.Response.WriteAsync("Blocked IP.");
        return;
    }

    await next();
});

登录后复制

5. 实施速率限制

限制客户端请求数量，防止滥用和暴力攻击。

ASP.NET Core示例:

安装包:

dotnet add package AspNetCoreRateLimit

登录后复制

配置速率限制:

builder.Services.AddMemoryCache();
builder.Services.Configure<IpRateLimitOptions>(options =>
{
    options.GeneralRules = new List<RateLimitRule>
    {
        new RateLimitRule
        {
            Endpoint = "*",
            Limit = 100, // 请求限制
            Period = "1m" // 每分钟
        }
    };
});

builder.Services.AddInMemoryRateLimiting();
app.UseIpRateLimiting();

登录后复制

6. 所有连接均使用HTTPS

强制使用HTTPS确保客户端和API之间安全通信。

ASP.NET Core中配置HTTPS:

webBuilder.UseKestrel()
          .UseHttps();

登录后复制

将HTTP流量重定向到HTTPS:

app.UseHttpsRedirection();

登录后复制

7. 监控和记录请求

实施日志记录，检测异常模式，例如来自未知来源的大量请求。

示例:

app.Use(async (context, next) =>
{
    string origin = context.Request.Headers["Origin"].ToString();
    Console.WriteLine($"Request from origin: {origin}");
    await next();
});

登录后复制

使用Application Insights、Serilog或Elastic Stack等工具进行全面监控。

8. 避免详细的错误响应

错误消息中不要暴露敏感信息，这会帮助攻击者。

示例:

app.UseExceptionHandler("/error"); // 将错误重定向到安全页面

登录后复制

结论

保护API免受未授权请求需要多层防御：正确配置CORS，显式验证来源和头部，实施身份验证和速率限制，使用HTTPS并监控流量。遵循这些最佳实践，可以显著降低未授权访问的风险，确保只有可信客户端才能访问您的API。

以上就是如何保护您的 API 免受未经授权的请求的详细内容，更多请关注php中文网其它相关文章！