Php Web API安全
我被要求为允许发送电子邮件的应用程序(pc可执行文件,而不是Web应用程序)编写Web API。Php Web API安全,php,security,api,authentication,Php,Security,Api,Authentication,我被要求为允许发送电子邮件的应用程序(pc可执行文件,而不是Web应用程序)编写Web API。 用户点击某个东西,应用程序就会与API通信,API会生成一封电子邮件并发送出去 我必须确保没有未经授权的人可以访问API,因此我需要进行某种身份验证,但我不知道如何正确执行 将有更多的应用程序访问API 第一个想法是发送用户名和密码,但这并不能真正解决问题。因为如果有人反编译应用程序,他们将拥有请求url和包括用户/密码在内的变量,或者只是可以嗅探它 所以。。。我有什么选择 我相当肯定安全连接(SS
用户点击某个东西,应用程序就会与API通信,API会生成一封电子邮件并发送出去 我必须确保没有未经授权的人可以访问API,因此我需要进行某种身份验证,但我不知道如何正确执行 将有更多的应用程序访问API 第一个想法是发送用户名和密码,但这并不能真正解决问题。因为如果有人反编译应用程序,他们将拥有请求url和包括用户/密码在内的变量,或者只是可以嗅探它 所以。。。我有什么选择 我相当肯定安全连接(SSL)目前对我不可用,但这仍然不能帮助我解决反编译问题,对吗
编辑
起初我没有这样说,但是不会要求用户输入用户名/密码。必须进行身份验证的是应用程序,而不是应用程序的用户。如果需要防止人们看到通过网络从应用程序发送到API的纯文本密码,则需要使用SSL
对于反编译问题,您希望在API中存储密码的哈希,而不是原始密码。请参见此处的说明:。总有人能够反编译并查找变量。模糊处理程序可能能够更好地隐藏它们。嗅探在没有SSL的情况下也很容易,除非您使用私有和公共密钥集来加密请求数据客户端和解密服务器端(但显然,该密钥将存储在客户端应用程序中) 最好的办法是提供您认为需要的尽可能多的保护层,创建安全连接并混淆代码。您可以阅读以下文章,其中演示了不使用SSL的安全连接:
如前所述,您不应该以纯文本格式存储密码。当用户在应用程序中输入密码时,存储密码的散列。服务器上应存储相同的哈希。这样,如果拦截器看到散列,它们至少不会看到用户的原始密码。我建议您查看OAuth。它肯定会帮助您通过授权工具访问API来解决安全问题
软件的分发确实是问题的症结所在。散列用户名和密码并将其存储在软件中并不比存储未散列的值更有用,因为两者都可以访问API服务器。如果要为用户实现用户名和密码,我认为可以将其用作API控件的前置游标,而无需将值存储在软件本身中。让我分两部分来描述这一点 请求签名 API请求验证最常用的方法是请求签名。基本上,在将请求发送到API服务器之前,会对请求中的参数进行排序,并向混合中添加一个唯一键。然后使用整个批生成一个哈希,并将其附加到请求中。例如:
public static function generateRequestString(array $params, $secretKey)
{
$params['signature'] = self::generateSignature($params, $secretKey);
return http_build_query($params,'','&');
}
public static function generateSignature($secretKey, array $params)
{
$reqString = $secretKey;
ksort($params);
foreach($params as $k => $v)
{
$reqString .= $k . $v;
}
return md5($reqString);
}
generateRequestString()如果您可以建立一个临时会话密钥,那么就不必在客户端程序中存储任何可以反编译的内容。向服务器发送一次用户名/密码就足以证明这一点。一旦您拥有该密钥,您就可以使用它在桌面应用程序中创建请求,并在API服务器上验证请求。+1-尽管我有一条评论:
对用户名和密码进行哈希运算并将其存储在软件中并不比存储未哈希值更有用,因为任何一个都可以访问API服务器。虽然这与询问者无关