本书旨在引导读者掌握在不同环境下确保API安全所需的技术。首先介绍基本的安全编码技术,之后深入研究身份认证和授权技术。全书共5部分,13章,其中:第1部分介绍了API安全的基本原理,是本书其余内容的基础;第2部分更详细地介绍RESTful API的身份验证机制;第3部分介绍了授权(authorization)相关的内容;第4部分深入探讨了如何确保运行在Kubernetes环境下的微服务API的安全性;第5部分介绍物联网(IoT)中的API。这类API的安全尤其有挑战性,因为物联网设备的能力往往很有限,并且会遭遇到各种各样的威胁。对于构建Web程序有一定经验的开发人员来讲,本书可以提高他们对API安全技术和zui佳实践的了解,也有助于技术架构师紧跟zui新API安全方法技术更新的步伐。
深入剖析Web系统中API技术的弱点以及防御要点
详细阐述威胁和防范方法,
创建能够抵御复杂威胁模型和恶意环境的API
到现在为止,我从事专业软件开发工作已经20年了,而且这些年,我用过各种各样的API。在我年轻的时候,曾经用BASIC语言和少量Z80机器代码编写过冒险游戏软件,那时根本不用担心有人会使用我的代码,更不用说通过接口调用代码了。直到1999年我以大学预科生的身份(有人亲切地称之为pooeys)加入IBM,我才第一次遇到供他人使用的代码。我记得某年夏天,我大胆地尝试将一个C++网络库集成到一个测试框架中,其间原作者通过一个简短的邮件对我进行了指导。在那个时候,我更关心的是如何破译那些难以捉摸的编译器错误信息,几乎不去考虑安全性问题。
随着时间的推移,API在概念上已经转变为涵盖可远程进行调用的接口了,而这时安全性就不再那么轻易地被忽略了。逃离令人恐怖的C++,我又置身于EJB(Enterprise Java Bean)的世界中,这里充斥着大量远程API调用以及数目众多的接口和样本程序。我几乎想不起来在那段日子里我用接口程序构建了什么,只知道这些代码程序是极其重要和必不可少的。之后,我们以SOAP和XML-RPC的形式添加了大量XML数据。但这没什么用。后来RESTful API和JSON的出现带来了一股清流:API最终变得非常简单,这时你就会有时间去考虑哪些接口是可以对外开放的。也正是在这个时候,我开始对安全产生了兴趣。
2013年,我入职ForgeRock,这是一家刚刚从Sun Microsystems的废墟上重新站立起来的初创公司。当时该公司正忙于为其管理产品编写认证和授权REST API,我正好加入了进来。在此过程中,我快速掌握了最新的基于令牌的授权和认证技术,这些技术在最近几年改变了API的安全性,本书很大一部分内容也来源于此。当Manning出版社建议我写一本书的时候,我马上就想到了要以API安全为主题来写这本书。
本书的大纲几经修改,但我始终坚持安全领域重在细节的原则。你不可能仅通过添加标记为“身份认证”和“访问控制”的外包装,就实现纯粹的架构级别的安全性。你必须确切地理解你要保护什么,以及这些“外包装”能够保证什么和不能保证什么。另外,安全领域也不适合那些零基础的读者。在本书中,我希望我们能够顺利地进入这样一个阶段—我能够为你解释清楚为什么事情是这样的,并提供许多常见安全问题的解决方案。
我坚持的另一个原则是安全技术并不是一劳永逸的。适用于Web应用程序的安全技术很可能根本不适用于微服务架构。依据我的经验,本书按照Web应用、移动客户端、Kubernetes环境下的微服务,以及物联网API等章节来分别阐述API安全。每个领域都有其自身的挑战和解决方案。
计算机\安全
本书是一本设计和实现安全服务的全面指南,是所有安全API从业人员的必读书籍。
—— Gilberto Taccari, Penta
任何想要深入了解API安全性的人都应该阅读本书。
—— Bobby Lin, DBS Bank
强烈推荐开发API的程序员都来阅读这本书。
—— Jorge Bo, Naranja X
这是我读过的关于API安全最好的综合性指南。
—— Marc Roulleau, GIRO
API控制着服务、服务器、数据存储以及Web客户端之间的数据共享。当下,以数据为中心的程序设计,包括云服务和云原生应用程序,都会对其提供的无论是面向公众还是面向内部的API采用一套全面且多层次的安全方法。
本书提供了在不同情况下创建API的实践指南。你可以遵循该指南创建一个安全的社交网络API,同时也将掌握灵活的多用户安全、云密钥管理和轻量级加密等技术。最终,你将创建一个能够抵御复杂威胁模型和恶意环境的API。
本书内容涵盖:
认证
授权
审核日志
速率限制
加密
本书示例是用Java语言编写的,适用于具有RESTful经验的开发人员。
一提起“信息安全”,不管是业内专家还是所谓的“吃瓜群众”,多半都会在脑海中浮现“网络安全”“Web安全”“软件安全”“数据安全”等常见的词汇。市面上绝大多数安全类书籍也多集中在这几个领域,而从API视角阐释信息安全的资料却凤毛麟角,也很少有人从软件系统之间“接口”的角度来分析和挖掘安全漏洞。
API最初的应用基本都在本地系统之上。时至今日,API已经成为各类软件系统(尤其是大型Web系统)集成的一种重要技术手段。随着Web API的不断普及,相应的协议(如SOAP)以及框架规范(REST)也随之产生。这些协议或框架规范通常会被设计为使用API来接收或发送消息,确保不同系统之间或不同编程语言之间能够共享信息和数据。随着前端设备的层出不穷(如手机、平板电脑、台式电脑等),必须有一种统一的机制,方便不同的前端设备与后端进行通信。这就使API架构流行起来,由此产生的安全问题也日益凸显。
真正拿到本书的英文版时,我们很好奇作者能够从什么样的角度来诠释API安全,因为在我们看来,API安全的覆盖面实在太广,涉及加密、认证、授权、注入攻击、跨站请求伪造,等等。市面上能够涵盖这些内容的书籍资料一般多是“点到为止”,很少能做到“深入浅出”。然而,当开始翻译本书后,我们发现本书的作者凭借自身丰富的实战经验,让我们能够身临其境地看到当前Web系统中API技术所面临的弱点和所需要防御的方方面面。并且,随着阅读的深入,越来越多引人入胜的内容呈现在我们面前,详尽的问题阐述,各种安全威胁的介绍和防范方法,特别是针对当前最新的防御体系的深入剖析,都令我们获益匪浅。
在本书的翻译过程中,我们尽量做到将原著中的精彩内容呈现给读者,但由于译者的水平有限,翻译不当之处,还请广大读者批评指正。
译者
2022年4月
译者序
前言
致谢
关于本书
关于作者
第一部分 基础
第1章 什么是API安全 2
1.1 打个比方:参加驾照考试 3
1.2 什么是API 4
1.3 API安全上下文 6
1.4 API安全要素 10
1.4.1 资产 11
1.4.2 安全目标 11
1.4.3 环境与威胁模型 13
1.5 安全机制 15
1.5.1 加密 16
1.5.2 身份识别和身份验证 17
1.5.3 访问控制和授权 18
1.5.4 审计日志 19
1.5.5 速率限制 20
小测验答案 21
小结 21
第2章 安全API开发 22
2.1 Natter API 22
2.1.1 Natter API概览 23
2.1.2 功能实现概览 24
2.1.3 设置项目 25
2.1.4 初始化数据库 26
2.2 开发REST API 28
2.3 连接REST终端 31
2.4 注入攻击 33
2.4.1 防御注入攻击 37
2.4.2 使用权限缓解SQL注入攻击 39
2.5 输入验证 40
2.6 生成安全的输出 45
2.6.1 利用XSS攻击 47
2.6.2 防御XSS攻击 49
2.6.3 实施防护 50
小测验答案 52
小结 53
第3章 加固Natter API 54
3.1 使用安全控制来处置威胁 54
3.2 速率限制解决可用性 55
3.3 使用身份验证抵御欺骗 61
3.3.1 HTTP基本身份验证 62
3.3.2 使用Scrypt确保密码安全存储 62
3.3.3 创建密码数据库 63
3.3.4 在Natter API中注册用户 64
3.3.5 验证用户 66
3.4 使用加密确保数据不公开 68
3.4.1 启用HTTPS 70
3.4.2 加强数据传输安全 71
3.5 使用审计日志问责 72
3.6 访问控制 77
3.6.1 强制身份验证 78
3.6.2 访问控制列表 79
3.6.3 Natter的强制访问控制 81
3.6.4 Natter空间增加新成员 83
3.6.5 避免提权攻击 84
小测验答案 85
小结 85
第二部分 基于令牌的身份验证
第4章 会话Cookie验证 88
4.1 Web浏览器的身份验证 88
4.1.1 在JavaScript中调用Natter API 89
4.1.2 表单提交拦截 91
4.1.3 提供同源HTML服务 91
4.1.4 HTTP认证的缺点 94
4.2 基于令牌的身份验证 95
4.2.1 令牌存储抽象 97
4.2.2 基于令牌登录的实现 98
4.3 Session Cookie 100
4.3.1 防范会话固定攻击 103
4.3.2 Cookie安全属性 105
4.3.3 验证会话Cookie 107
4.4 防范跨站请求伪造攻击 109
4.4.1 SameSite Cookie 111
4.4.2 基于哈希计算的双重提交Cookie 113
4.4.3 在Natter API中应用双重提交Cookie 116
4.5 构建Natter登录UI 121
4.6 实现注销 125
小测验答案 127
小结 127
第5章 最新的基于令牌的身份验证 128
5.1 使用CORS允许跨域请求 128
5.1.1 预检请求 129
5.1.2 CORS头 131
5.1.3 在Natter API中添加CORS头部 132
5.2 不使用Cookie的令牌 135
5.2.1 在数据库中保存令牌的状态 136
5.2.2 Bearer身份验证方案 141
5.2.3 删除过期令牌 143
5.2.4 在Web存储中存储令牌 143
5.2.5 修改CORS过滤器 146
5.2.6 对Web存储的XSS攻击 147
5.3 加固数据库令牌存储 149
5.3.1 对数据库令牌进行哈希计算 150
5.3.2 使用HMAC验证令牌 151
5.3.3 保护敏感属性 156
小测验答案 158
小结 159
第6章 自包含令牌和JWT 160
6.1 在客户端存储令牌状态 160
6.2 JSON Web令牌 163
6.2.1 标准JWT声明 165
6.2.2 JOSE头部 166
6.2.3 生成标准的JWT 168
6.2.4 验证签名JWT 171
6.3 加密敏感属性 172
6.3.1 认证加密 173
6.3.2 NaCl认证加密 175
6.3.3 加密JWT 177
6.3.4 使用JWT库 180
6.4 使用安全类型来加固API设计 183
6.5 处理令牌撤销 185
小测验答案 189
小结 189
第三部分 授权
第7章 OAuth2和OpenID Connect 192
7.1 作用域令牌 193
7.1.1 在Natter中添加作用域令牌 193
7.1.2 作用域和权限之间的区别 197
7.2 OAuth2简介 200
7.2.1 客户端类型 201
7.2.2 授权许可 201
7.2.3 发现OAuth2终端 203
7.3 授权码许可 204
7.3.1 重定向不同类型客户端的URI 208
7.3.2 使用PKCE增强授权码交换安全性 209
7.3.3 刷新令牌 210
7.4 验证访问令牌 211
7.4.1 令牌自省 212
7.4.2 确保HTTPS客户端配置安全 217
7.4.3 令牌撤销 219
7.4.4 JWT访问令牌 221
7.4.5 加密JWT访问令牌 227
7.4.6 让AS解密令牌 228
7.5 单点登录 229
7.6 OpenID Connect 230
7.6.1 ID令牌 231
7.6.2 加固OIDC 232
7.6.3 向API传递ID令牌 233
小测验答案 235
小结 235
第8章 基于身份的访问控制 237
8.1 用户和组 237
8.2 基于角色的访问控制 243
8.2.1 角色映射权限 244
8.2.2 静态角色 245
8.2.3 确定用户角色 247
8.2.4 动态角色 248
8.3 基于属性的访问控制 249
8.3.1 组合决策 251
8.3.2 实现ABAC策略 252
8.3.3 策略代理和API网关 256
8.3.4 分布式策略实施和XACML 257
8.3.5 ABAC最佳实践 258
小测验答案 260
小结 260
第9章 基于能力的安全和Macaroon 261
9.1 基于能力的安全 261
9.2 能力和REST API 263
9.2.1 能力URI 265
9.2.2 在Natter API中使用能力URI 268
9.2.3 HATEOAS 272
9.2.4 基于浏览器客户端的能力URI 276
9.2.5 能力与身份相结合 278
9.2.6 加固能力URI 279
9.3 Macaroon:含有caveat的令牌 282
9.3.1 上下文caveat 284
9.3.2 Macaroon令牌存储 285
9.3.3 第一方caveat 288
9.3.4 第三方caveat 291
小测验答案 293
小结 293
第四部分 Kubernetes中的微服务API及服务到服务API的安全
第10章 Kubernetes中的微服务API 296
10.1 Kubernetes上的微服务API 297
10.2 在Kubernetes上部署Natter API 300
10.2.1 将H2数据库构建为Docker容器 301
10.2.2 将数据库部署到Kubernetes 305
10.2.3 将Natter API构建为Docker容器 309
10.2.4 链接预览微服务 313
10.2.5 部署新的微服务 315
10.2.6 调用链接预览微服务 317
10.2.7 防范SSRF攻击 320
10.2.8 DNS重绑定攻击 325
10.3 确保微服务通信安全 327
10.3.1 使用TLS来保证通信安全 327
10.3.2 使用TLS服务网格 329
10.3.3 锁定网络连接 333
10.4 确保输入请求的安全性 335
小测验答案 339
小结 339
第11章 服务到服务API的安全 340
11.1 API密钥和JWT Bearer身份验证 340
11.2 OAuth2客户端凭证许可 342
11.3 OAuth2的JWT Bearer许可 345
11.3.1 客户端验证 346
11.3.2 生成JWT 349
11.3.3 服务账户身份验证 351
11.4 Mutual TLS验证 352
11.4.1 TLS证书认证的工作原理 352
11.4.2 客户端证书验证 355
11.4.3 验证客户端标识 356
11.4.4 使用服务网格 361
11.4.5 基于OAuth2的mTLS 363
11.4.6 证书绑定访问令牌 364
11.5 管理服务凭证 368
11.5.1 Kubernets secret 369
11.5.2 密钥和secret管理服务 373
11.5.3 避免在磁盘上保存长生命周期的secret 376
11.5.4 派生密钥 377
11.6 响应用户请求的服务API调用 381
11.6.1 phantom凭证模式 381
11.6.2 OAuth2令牌交换 383
小测验答案 386
小结 387
第五部分 用于物联网的API
第12章 物联网通信安全 390
12.1 传输层安全 391
12.1.1 数据报TLS 392
12.1.2 受限设备的密码套件 402
12.2 预共享密钥 407
12.2.1 实现一个PSK服务器 408
12.2.2 PSK客户端 411
12.2.3 支持原始PSK密码套件 412
12.2.4 具有前向保密性的PSK 413
12.3 端到端安全 415
12.3.1 COSE 416
12.3.2 COSE的替代方案 420
12.3.3 防滥用认证加密 422
12.4 密钥分发与管理 426
12.4.1 一次性密钥配置 426
12.4.2 密钥分发服务器 427
12.4.3 前向保密Ratcheting技术 428
12.4.4 后向安全 430
小测验答案 432
小结 432
第13章 物联网API安全 433
13.1 设备验证 433
13.1.1 识别设备 433
13.1.2 设备证书 436
13.1.3 传输层验证 437
13.2 端到端验证 440
13.2.1 OSCORE 443
13.2.2 REST API中避免消息重放 450
13.3 受限环境下的OAuth2 455
13.3.1 设备授权许可 455
13.3.2 ACE-OAuth 459
13.4 离线访问控制 460
13.4.1 离线用户身份验证 460
13.4.2 离线授权 462
小测验答案 463
小结 463
附录A 配置Java和Maven 464
附录B 配置Kubernets 473
