為什么移動(dòng)應(yīng)用程序需要安全的API訪問(wèn)?
移動(dòng)應(yīng)用程序需要通過(guò)調(diào)用API與安全數(shù)據(jù)交互,而這些API通常需要憑證來(lái)驗(yàn)證用戶身份并授予訪問(wèn)權(quán)限。憑證的安全性直接關(guān)系到用戶數(shù)據(jù)的保護(hù),因此必須對(duì)用戶進(jìn)行身份驗(yàn)證。
目前,許多身份驗(yàn)證解決方案可供選擇,例如社交登錄提供商提供的快速身份驗(yàn)證方法。然而,開發(fā)者在調(diào)用API時(shí)可能會(huì)遇到“外國(guó)訪問(wèn)令牌”問(wèn)題,即社交登錄提供商頒發(fā)的訪問(wèn)令牌可能會(huì)被API拒絕。為了避免這種問(wèn)題,開發(fā)者需要采用更安全的方案。
使用OAuth 2.0的優(yōu)勢(shì)
OAuth 2.0授權(quán)框架為移動(dòng)應(yīng)用程序的API訪問(wèn)提供了多種安全優(yōu)勢(shì):
- 作用域設(shè)計(jì):通過(guò)作用域定義訪問(wèn)令牌的API安全邊界。
- 權(quán)限最小化:通過(guò)聲明設(shè)計(jì)訪問(wèn)令牌,確保其僅具備最小的API權(quán)限。
- 短生命周期:設(shè)計(jì)短期有效的訪問(wèn)令牌,減少被盜風(fēng)險(xiǎn)。
- 安全可見性:授權(quán)服務(wù)器提供安全行為的可見性,便于利益相關(guān)者監(jiān)控。
- 身份驗(yàn)證靈活性:應(yīng)用程序可隨時(shí)更新身份驗(yàn)證方法,無(wú)需修改代碼。
- 外包安全功能:授權(quán)服務(wù)器承擔(dān)復(fù)雜的安全功能,減輕開發(fā)者負(fù)擔(dān)。
防止令牌濫用的最佳實(shí)踐
使用安全的重定向URI
根據(jù)OAuth標(biāo)準(zhǔn),建議使用聲明的HTTPS方案重定向URI(如https://app.example.com/callback),并結(jié)合移動(dòng)平臺(tái)的HTTPS深度鏈接支持。這種方法可以有效防止惡意應(yīng)用程序通過(guò)偽造OAuth參數(shù)竊取令牌。
然而,這種方法可能會(huì)遇到一些技術(shù)挑戰(zhàn),例如移動(dòng)瀏覽器可能無(wú)法自動(dòng)調(diào)用深度鏈接。為解決此問(wèn)題,可以使用中間網(wǎng)頁(yè)作為重定向URI,通過(guò)JavaScript將授權(quán)響應(yīng)轉(zhuǎn)發(fā)到應(yīng)用程序。
利用設(shè)備認(rèn)證功能
現(xiàn)代移動(dòng)設(shè)備內(nèi)置的認(rèn)證功能可以進(jìn)一步提高安全性。通過(guò)認(rèn)證,應(yīng)用程序可以生成加密簽名,由服務(wù)器驗(yàn)證其合法性。這種方法可以防止惡意方偽造應(yīng)用程序并竊取令牌。
提高訪問(wèn)令牌的保護(hù)級(jí)別
在大多數(shù)情況下,訪問(wèn)令牌是承載令牌,可能被攻擊者截獲并濫用。為降低風(fēng)險(xiǎn),可以采取以下措施:
- 最小權(quán)限設(shè)計(jì):確保訪問(wèn)令牌僅具備必要的權(quán)限。
- 短生命周期:限制令牌的有效時(shí)間,減少被盜后的潛在危害。
- 證書綁定令牌:通過(guò)設(shè)備管理解決方案為每個(gè)設(shè)備分配唯一的客戶端證書,使令牌與設(shè)備綁定,從而提升安全性。
本機(jī)OAuth流程的改進(jìn)
在某些場(chǎng)景下,使用本機(jī)OAuth流程可以更好地滿足業(yè)務(wù)需求。例如,某些組織可能需要在自助服務(wù)終端(kiosk)中使用OAuth流程。此時(shí),移動(dòng)應(yīng)用程序可以通過(guò)本機(jī)API身份驗(yàn)證請(qǐng)求的工作流代替?zhèn)鹘y(tǒng)的HTML身份驗(yàn)證屏幕,從而提供更流暢的用戶體驗(yàn)。
展望未來(lái)的移動(dòng)安全行為
隨著OAuth標(biāo)準(zhǔn)的不斷改進(jìn),未來(lái)的移動(dòng)應(yīng)用程序?qū)⒛軌蚋玫乩帽緳C(jī)安全功能,例如認(rèn)證和最新的身份驗(yàn)證方法。在此之前,開發(fā)者可以依賴授權(quán)服務(wù)器提供的自定義解決方案,如Curity的Hypermedia Authentication API(HAAPI)。
總結(jié)
在設(shè)計(jì)移動(dòng)應(yīng)用程序的API安全性時(shí),開發(fā)者應(yīng)從API消息憑據(jù)的安全性入手,并確保移動(dòng)登錄流程能夠支持這些憑據(jù)。此外,還需考慮網(wǎng)絡(luò)威脅并采取措施減輕風(fēng)險(xiǎn)。通過(guò)使用OAuth 2.0授權(quán)框架和功能完善的授權(quán)服務(wù)器,開發(fā)者可以實(shí)現(xiàn)以下目標(biāo):
- 將安全復(fù)雜性外包給授權(quán)服務(wù)器。
- 設(shè)計(jì)最小權(quán)限和短生命周期的訪問(wèn)令牌。
- 集成最新的身份驗(yàn)證方法。
- 遵循最佳實(shí)踐生態(tài)系統(tǒng)。
- 保持應(yīng)用程序的安全性與時(shí)俱進(jìn)。
原文鏈接: https://curity.medium.com/how-to-secure-api-access-in-mobile-apps-a072d764ae46
我們有何不同?
API服務(wù)商零注冊(cè)
多API并行試用
數(shù)據(jù)驅(qū)動(dòng)選型,提升決策效率
查看全部API→
??
熱門場(chǎng)景實(shí)測(cè),選對(duì)API
微信截圖_17412478771344.png)
安全的關(guān)鍵.png)
微信截圖_17447930704660.png)