ភាពងាយរងគ្រោះកំពូល OATH API
ភាពងាយរងគ្រោះ API កំពូលរបស់ OATH៖ ការណែនាំ
នៅពេលនិយាយអំពីការកេងប្រវ័ញ្ច APIs គឺជាកន្លែងដ៏ល្អបំផុតដើម្បីចាប់ផ្តើម។ ការ API ការចូលប្រើជាធម្មតាមានបីផ្នែក។ អតិថិជនត្រូវបានចេញសញ្ញាសម្ងាត់ដោយម៉ាស៊ីនមេអនុញ្ញាត ដែលដំណើរការជាមួយ APIs ។ API ទទួលបានសញ្ញាសម្ងាត់ចូលប្រើពីអតិថិជន និងអនុវត្តច្បាប់អនុញ្ញាតជាក់លាក់នៃដែនដោយផ្អែកលើពួកវា។
កម្មវិធីសូហ្វវែរទំនើបងាយរងគ្រោះទៅនឹងគ្រោះថ្នាក់ផ្សេងៗ។ បន្តបង្កើនល្បឿនលើការកេងប្រវ័ញ្ចថ្មីៗបំផុត និងកំហុសសុវត្ថិភាព។ ការមានស្តង់ដារសម្រាប់ភាពងាយរងគ្រោះទាំងនេះគឺចាំបាច់ដើម្បីធានាសុវត្ថិភាពកម្មវិធីមុនពេលមានការវាយប្រហារកើតឡើង។ កម្មវិធីភាគីទីបីកំពុងពឹងផ្អែកកាន់តែខ្លាំងឡើងលើពិធីការ OAuth ។ អ្នកប្រើនឹងទទួលបានបទពិសោធអ្នកប្រើជារួមកាន់តែប្រសើរ ព្រមទាំងការចូលនិងការអនុញ្ញាតកាន់តែលឿនផងដែរ ដោយសារបច្ចេកវិទ្យានេះ។ វាអាចមានសុវត្ថិភាពជាងការអនុញ្ញាតធម្មតា ដោយសារអ្នកប្រើប្រាស់មិនចាំបាច់បង្ហាញអត្តសញ្ញាណរបស់ពួកគេជាមួយនឹងកម្មវិធីភាគីទីបី ដើម្បីចូលប្រើធនធានដែលបានផ្តល់ឱ្យ។ ខណៈពេលដែលពិធីការខ្លួនវាមានសុវត្ថិភាព និងសុវត្ថិភាព វិធីដែលវាត្រូវបានអនុវត្តអាចទុកឱ្យអ្នកបើកការវាយប្រហារ។
នៅពេលរចនា និងបង្ហោះ API អត្ថបទនេះផ្តោតលើភាពងាយរងគ្រោះ OAuth ធម្មតា ក៏ដូចជាការកាត់បន្ថយសុវត្ថិភាពផ្សេងៗ។
ការអនុញ្ញាតកម្រិតវត្ថុដែលខូច
មានផ្ទៃវាយប្រហារដ៏ធំប្រសិនបើការអនុញ្ញាតត្រូវបានរំលោភ ចាប់តាំងពី APIs ផ្តល់នូវការចូលទៅកាន់វត្ថុ។ ដោយសារធាតុដែលអាចចូលប្រើ API ត្រូវតែផ្ទៀងផ្ទាត់ នោះគឺជាការចាំបាច់។ អនុវត្តការត្រួតពិនិត្យការអនុញ្ញាតកម្រិតវត្ថុដោយប្រើច្រក API ។ មានតែអ្នកដែលមានលិខិតបញ្ជាក់ការអនុញ្ញាតសមរម្យប៉ុណ្ណោះដែលគួរត្រូវបានអនុញ្ញាតឱ្យចូលប្រើ។
ការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ដែលខូច
ថូខឹនដែលគ្មានការអនុញ្ញាតគឺជាមធ្យោបាយញឹកញាប់មួយផ្សេងទៀតសម្រាប់អ្នកវាយប្រហារដើម្បីទទួលបានការចូលប្រើ APIs ។ ប្រព័ន្ធផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវអាចនឹងត្រូវបានគេលួចចូល ឬសោ API អាចនឹងត្រូវបានបង្ហាញកំហុស។ សញ្ញាសម្គាល់ការផ្ទៀងផ្ទាត់អាចជា ប្រើដោយពួក Hacker ដើម្បីទទួលបានការចូលប្រើ។ ផ្ទៀងផ្ទាត់មនុស្សបានលុះត្រាតែពួកគេអាចទុកចិត្តបាន ហើយប្រើពាក្យសម្ងាត់ខ្លាំង។ ជាមួយនឹង OAuth អ្នកអាចទៅហួសពីសោ API និងទទួលបានសិទ្ធិចូលប្រើទិន្នន័យរបស់អ្នក។ អ្នកគួរតែគិតជានិច្ចអំពីរបៀបដែលអ្នកចូល និងចេញពីកន្លែងមួយ។ OAuth MTLS Sender Constrained Tokens អាចត្រូវបានប្រើជាមួយ Mutual TLS ដើម្បីធានាថាអតិថិជនមិនប្រព្រឹត្តខុស និងបញ្ជូនសញ្ញាសម្ងាត់ទៅភាគីដែលមិនត្រឹមត្រូវខណៈពេលចូលប្រើម៉ាស៊ីនផ្សេងទៀត។
ការបង្ហាញទិន្នន័យច្រើនពេក
មិនមានការរឹតត្បិតលើចំនួនចំណុចបញ្ចប់ដែលអាចត្រូវបានបោះពុម្ពនោះទេ។ ភាគច្រើនមិនមែនមុខងារទាំងអស់មានសម្រាប់អ្នកប្រើប្រាស់ទាំងអស់នោះទេ។ តាមរយៈការលាតត្រដាងទិន្នន័យច្រើនជាងអ្វីដែលចាំបាច់ អ្នកធ្វើឱ្យខ្លួនអ្នក និងអ្នកដទៃមានគ្រោះថ្នាក់។ ជៀសវាងការបង្ហាញរសើប ព រហូតដល់វាចាំបាច់បំផុត។ អ្នកអភិវឌ្ឍន៍អាចបញ្ជាក់ថាអ្នកណាអាចចូលប្រើប្រាស់អ្វីបានដោយការប្រើប្រាស់ OAuth Scopes និងការទាមទារ។ ការទាមទារអាចបញ្ជាក់ផ្នែកណាមួយនៃទិន្នន័យដែលអ្នកប្រើប្រាស់មានសិទ្ធិចូលប្រើ។ ការគ្រប់គ្រងការចូលប្រើអាចត្រូវបានធ្វើឱ្យកាន់តែងាយស្រួល និងងាយស្រួលក្នុងការគ្រប់គ្រងដោយប្រើរចនាសម្ព័ន្ធស្តង់ដារនៅទូទាំង APIs ទាំងអស់។
កង្វះធនធាន និងការកំណត់អត្រាការប្រាក់
មួកខ្មៅតែងតែប្រើការរំលោភលើការបដិសេធនៃសេវាកម្ម (DoS) ជាមធ្យោបាយដ៏ឃោរឃៅនៃការលើសលប់ម៉ាស៊ីនមេ ហើយដូច្នេះកាត់បន្ថយពេលវេលាដំណើរការរបស់វាដល់សូន្យ។ ដោយមិនមានការរឹតបន្តឹងលើធនធានដែលអាចត្រូវបានគេហៅថា API មួយគឺងាយរងគ្រោះចំពោះការរំលោភបំពាន។ 'ដោយប្រើ API gateway ឬឧបករណ៍គ្រប់គ្រង អ្នកអាចកំណត់កម្រិតកម្រិតសម្រាប់ APIs ។ ការត្រង និងការបញ្ចូលទំព័រគួរតែត្រូវបានរួមបញ្ចូល ក៏ដូចជាចម្លើយដែលត្រូវបានដាក់កម្រិត។
ការកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវនៃប្រព័ន្ធសុវត្ថិភាព
គោលការណ៍ណែនាំនៃការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពផ្សេងៗគ្នាគឺមានលក្ខណៈទូលំទូលាយដោយយុត្តិធម៌ ដោយសារលទ្ធភាពដ៏សំខាន់នៃការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពមិនត្រឹមត្រូវ។ រឿងតូចតាចមួយចំនួនអាចប៉ះពាល់ដល់សុវត្ថិភាពនៃវេទិការបស់អ្នក។ វាអាចទៅរួចដែលថាមួកខ្មៅដែលមានគោលបំណងអាក្រក់អាចរកឃើញព័ត៌មានរសើបដែលបានផ្ញើក្នុងការឆ្លើយតបទៅនឹងសំណួរដែលមានទម្រង់ខុស ជាឧទាហរណ៍។
កិច្ចការធំ
ដោយសារតែចំណុចបញ្ចប់មិនត្រូវបានកំណត់ជាសាធារណៈមិនបានបញ្ជាក់ថាវាមិនអាចចូលដំណើរការដោយអ្នកអភិវឌ្ឍន៍ទេ។ API សម្ងាត់អាចត្រូវបានស្ទាក់ចាប់បានយ៉ាងងាយស្រួល និងដំណើរការបញ្ច្រាសដោយពួក Hacker ។ សូមក្រឡេកមើលឧទាហរណ៍មូលដ្ឋាននេះ ដែលប្រើ Bearer Token បើកចំហនៅក្នុង API "ឯកជន" ។ ម្យ៉ាងវិញទៀត ឯកសារសាធារណៈអាចមានសម្រាប់អ្វីមួយដែលមានន័យទាំងស្រុងសម្រាប់ការប្រើប្រាស់ផ្ទាល់ខ្លួន។ ព័ត៌មានដែលបានលាតត្រដាងអាចត្រូវបានប្រើប្រាស់ដោយមួកខ្មៅដើម្បីមិនត្រឹមតែអានប៉ុណ្ណោះទេប៉ុន្តែថែមទាំងរៀបចំលក្ខណៈរបស់វត្ថុផងដែរ។ ចាត់ទុកខ្លួនឯងថាជាពួក Hacker នៅពេលអ្នកស្វែងរកចំណុចខ្សោយដែលអាចកើតមាននៅក្នុងការការពាររបស់អ្នក។ អនុញ្ញាតឱ្យតែអ្នកដែលមានសិទ្ធិត្រឹមត្រូវចូលប្រើអ្វីដែលបានត្រឡប់មកវិញ។ ដើម្បីកាត់បន្ថយភាពងាយរងគ្រោះ សូមដាក់កម្រិតកញ្ចប់ឆ្លើយតប API ។ អ្នកឆ្លើយតបមិនគួរបន្ថែមតំណភ្ជាប់ណាមួយដែលមិនត្រូវបានទាមទារជាដាច់ខាត។
API ដែលបានផ្សព្វផ្សាយ៖
ការគ្រប់គ្រងទ្រព្យសកម្មមិនត្រឹមត្រូវ
ក្រៅពីការបង្កើនផលិតភាពរបស់អ្នកអភិវឌ្ឍន៍ កំណែបច្ចុប្បន្ន និងឯកសារគឺចាំបាច់សម្រាប់សុវត្ថិភាពផ្ទាល់ខ្លួនរបស់អ្នក។ រៀបចំសម្រាប់ការណែនាំកំណែថ្មី និងការបដិសេធនៃ APIs ចាស់ជាមុន។ ប្រើ APIs ថ្មីជាងនេះជំនួសឱ្យការអនុញ្ញាតឱ្យឧបករណ៍ចាស់បន្តប្រើប្រាស់។ ការបញ្ជាក់ API អាចត្រូវបានប្រើជាប្រភពចម្បងនៃការពិតសម្រាប់ឯកសារ។
ការចាក់ថ្នាំ
APIs ងាយនឹងចាក់បញ្ចូល ប៉ុន្តែកម្មវិធីអ្នកអភិវឌ្ឍន៍ភាគីទីបីក៏ដូចគ្នាដែរ។ លេខកូដព្យាបាទអាចត្រូវបានប្រើដើម្បីលុបទិន្នន័យ ឬលួចព័ត៌មានសម្ងាត់ ដូចជាពាក្យសម្ងាត់ និងលេខកាតឥណទានជាដើម។ មេរៀនសំខាន់បំផុតដែលត្រូវដកចេញពីនេះគឺមិនត្រូវពឹងផ្អែកលើការកំណត់លំនាំដើមឡើយ។ អ្នកគ្រប់គ្រង ឬអ្នកផ្គត់ផ្គង់ច្រកផ្លូវរបស់អ្នកគួរតែអាចបំពេញតម្រូវការកម្មវិធីតែមួយគត់របស់អ្នក។ សារកំហុសមិនគួររួមបញ្ចូលព័ត៌មានរសើបទេ។ ដើម្បីការពារទិន្នន័យអត្តសញ្ញាណពីការលេចធ្លាយនៅខាងក្រៅប្រព័ន្ធ Pairwise Pseudonyms គួរតែត្រូវបានប្រើជានិមិត្តសញ្ញា។ នេះធានាថាគ្មានអតិថិជនអាចធ្វើការជាមួយគ្នាដើម្បីកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់បានទេ។
ការកត់ត្រា និងការត្រួតពិនិត្យមិនគ្រប់គ្រាន់
នៅពេលដែលមានការវាយប្រហារកើតឡើង ក្រុមទាមទារឱ្យមានយុទ្ធសាស្ត្រប្រតិកម្មដែលបានគិតយ៉ាងល្អ។ អ្នកអភិវឌ្ឍន៍នឹងបន្តទាញយកភាពងាយរងគ្រោះដោយមិនត្រូវបានគេចាប់បាន ប្រសិនបើមិនមានប្រព័ន្ធត្រួតពិនិត្យ និងកត់ត្រាដែលអាចទុកចិត្តបាន ដែលនឹងបង្កើនការខាតបង់ និងធ្វើឱ្យខូចដល់ការយល់ឃើញរបស់សាធារណៈជនចំពោះក្រុមហ៊ុន។ ប្រកាន់ខ្ជាប់នូវការត្រួតពិនិត្យ API ដ៏តឹងរ៉ឹង និងយុទ្ធសាស្ត្រតេស្តចំណុចបញ្ចប់ផលិតកម្ម។ អ្នកសាកល្បងមួកសដែលរកឃើញភាពងាយរងគ្រោះនៅដំណាក់កាលដំបូងគួរតែត្រូវបានផ្តល់រង្វាន់ជាមួយនឹងគម្រោងផ្តល់រង្វាន់។ កំណត់ហេតុអាចនឹងត្រូវបានកែលម្អដោយបញ្ចូលអត្តសញ្ញាណរបស់អ្នកប្រើប្រាស់ទៅក្នុងប្រតិបត្តិការ API ។ ត្រូវប្រាកដថាស្រទាប់ទាំងអស់នៃស្ថាបត្យកម្ម API របស់អ្នកត្រូវបានសវនកម្មដោយប្រើទិន្នន័យ Access Token ។
សន្និដ្ឋាន
ស្ថាបត្យករវេទិកាអាចបំពាក់ប្រព័ន្ធរបស់ពួកគេដើម្បីរក្សាមួយជំហានមុនអ្នកវាយប្រហារដោយធ្វើតាមលក្ខណៈវិនិច្ឆ័យភាពងាយរងគ្រោះដែលបានបង្កើតឡើង។ ដោយសារតែ APIs អាចផ្តល់នូវភាពងាយស្រួលដល់ព័ត៌មានដែលអាចកំណត់អត្តសញ្ញាណផ្ទាល់ខ្លួន (PII) ការរក្សាសុវត្ថិភាពនៃសេវាកម្មបែបនេះមានសារៈសំខាន់សម្រាប់ទាំងស្ថិរភាពរបស់ក្រុមហ៊ុន និងការអនុលោមតាមច្បាប់ដូចជា GDPR ជាដើម។ កុំផ្ញើសញ្ញាសម្ងាត់ OAuth ដោយផ្ទាល់លើ API ដោយមិនចាំបាច់ប្រើ API Gateway និងវិធី Phantom Token ។