关于wcf：保护REST API / Web服务的最佳实践

Best Practices for securing a REST API / web service

在设计RESTAPI或服务时，是否存在处理安全性(身份验证、授权、身份管理)的既定最佳实践？

在构建SOAP API时，您可以将WS-Security作为指南，并且有很多关于这个主题的文献。我发现有关保护REST端点的信息较少。

虽然我知道REST故意没有类似于WS-*的规范，但我希望已经出现了最佳实践或推荐的模式。

任何讨论或相关文件的链接将非常感谢。如果这很重要，我们将使用wcf和pox/json序列化消息，用于使用.NET框架的v3.5构建的RESTAPI/服务。

正如Tweakt所说，AmazonS3是一个很好的模型。它们的请求签名确实具有一些功能(例如合并时间戳)，有助于防止意外和恶意的请求重播。

关于HTTPBasic的好处是几乎所有的HTTP库都支持它。当然，在这种情况下，您需要使用SSL，因为通过网络发送纯文本密码几乎是一件坏事。使用ssl时，basic比digest更好，因为即使调用方已经知道需要凭据，digest也需要额外的往返以交换nonce值。使用basic，调用者只需第一次发送凭证。

一旦建立了客户机的身份，授权实际上只是一个实现问题。但是，您可以使用现有的授权模型将授权委托给其他某个组件。同样，basic的好处在于，您的服务器最终得到了客户机密码的纯文本副本，您可以根据需要简单地将其传递给基础结构中的另一个组件。

相关讨论

SSL是安全性的重要组成部分，但并非所有应用程序都需要这种级别的加密。如果有人在运输途中偷走了你将在Twitter上公开发布的内容，这是一个巨大的缺点吗？对于大多数API的SSL加密将是首选。SSL的基础结构要求比纯文本略高，并且没有任何中间(在此处读取基于边缘的)缓存服务器可以参与重复访问内容的缓存。注意，如果您绝对需要所提供的加密，您的可伸缩性可能会受到影响。
@诺曼：你的论点是似是而非的，因为如果有人能看到我发布到Twitter上的整个交易，那么他们就可以冒充我，用我的名字发布他们自己的信息。
@是的，我确实考虑过，但是身份验证令牌可以加密，即使整个通道不是SSL加密的。
引用维基百科关于摘要式身份验证的话，"摘要式访问身份验证是Web服务器与用户的Web浏览器协商凭证时可以使用的商定方法之一。它在通过网络发送密码之前对密码应用哈希函数，这比发送纯文本的基本访问身份验证更安全。"这是实现我上面提到的一种标准方法。(详情请参见en.wikipedia.org/wiki/digest_access_authentication)
@Willsargent的BuzzFeed文章是非常棒的资源。我没有考虑的一个问题是，不要将任何类型的身份验证令牌放入URL或参数中——这些令牌可能会在服务器的访问日志中捕获。
"sending plaintext passwords over the net is almost universally a bad thing"—你能详细介绍一下"几乎"吗？什么时候这不是个坏主意？
@汤姆：也许在某些情况下，比如在一个私人网络里，情况可能会好一些。此外，各种系统一直通过电子邮件发送纯文本密码(这仍然不是一个好主意，但确实发生了)。
@即使是在一个私人网络中，我也不希望我的用户能够截取对方的密码。我能想到的唯一情况是，当用户单独在网络中时，可以通过网络发送密码。这种事情在别处发生的事实，很难成为允许的理由。
如果您使用SSL，则不需要关心重播攻击。参见：security.stackexchange.com/questions/20105/&hellip；
@不是100%正确的Guettli。SSL建立了一个安全的连接，但不会阻止在该连接内重播消息。它防止重放用嗅探器收集的转储，但是如果有人可以解密原始消息(不是很难)，那么就可以重建消息(或创建新消息)并重新发送消息，除非使用了某种消息级的安全性国王。SSL本身并不十分安全。
@n请提供详细信息。您的"SSL本身并不十分安全"这句话非常含糊。如何解密原始邮件？我不明白你为什么说这不难。
@Guettli使用SSL并不意味着你的应用程序是安全的。我看到很多(移动)开发者忽略了证书验证…即使他们在其他人控制的环境中验证证书，也有办法绕过这个问题，允许中间人(我已经在一个控制的环境中看到并完成了这一点，使用开箱即用的工具，并且对主题不太了解)。这就是为什么我说SSL本身并不十分安全，但它是您应该使用的安全层之一。
@nflash我仍然没有解释"ssl建立了一个安全的连接，但不会阻止在该连接内重播消息。"和"但是如果有人可以解密原始消息(不是很难)"。
@Guettli一条评论不允许有足够的字符来给出更详细的答案。寻找中间人或SSL代理，您将看到如何捕获和解密安全通道中的消息(容易控制环境)。如果消息本身没有经过身份验证或以某种方式受到保护，您将能够重新构造消息并重放它，甚至更改它并发送它。证书验证在SSL中起着关键作用，如果您克服了这一点，那么安全通道将不再安全。
@我知道这是可能的。但这很难。运行mitmproxy.org非常简单。但首先需要在客户机和服务器之间运行代理。接下来，您需要为请求的域提供有效的证书。我不会说这"不难"。这是可能的，但并不容易。
@正如我所说："我看到很多(移动)开发者忽略了证书验证……即使他们在其他人控制的环境中验证证书，也有办法绕过这个问题，让一个人处于中间"。如果控制环境，则可以轻松地将证书安装为可信证书。在忽略证书验证的情况下，甚至不必这样做。
@诺曼：是的，在某人的tweet发布之前看到他们并不重要，但是没有加密保护，攻击者也可以修改它们。这是一件大事。

除了HTTP之外，没有其他标准。有现成的休息服务。我建议你看一眼，看看他们是怎么工作的。

例如，在开发自己的S3 REST服务时，我们借鉴了很多亚马逊的想法。但是我们选择不使用基于请求签名的更高级的安全模型。更简单的方法是通过SSL进行HTTP基本身份验证。你必须决定什么在你的情况下最有效。

另外，我强烈推荐O'Reilly的书Restful Web服务。它解释了核心概念，并提供了一些最佳实践。您通常可以采用他们提供的模型，并将其映射到您自己的应用程序。

相关讨论

您可能还想看看OAuth，这是一种新兴的开放式协议，专门针对HTTP API进行基于令牌的授权。

它非常类似于Flickr所采用的方法，并记住牛奶"rest"API(不一定是RESTful API的好例子，而是基于令牌的方法的好例子)。

相关讨论

Github上有一个很好的清单：

认证

不要在身份验证、令牌生成、密码存储中重新发明轮子。使用标准。
在登录时使用Max Retry和监禁功能。
对所有敏感数据使用加密。

JWT(JSON Web令牌)

使用一个随机复杂的密钥(JWT秘密)使得暴力强制令牌非常困难。
不要从有效载荷中提取算法。强制后端中的算法(hs256或rs256)。
尽可能缩短令牌到期时间(TTL，RTTL)。
不要在JWT有效载荷中存储敏感数据，它可以很容易地解码。

奥瑙

始终验证服务器端的redirect_uri以仅允许白名单URL。
始终尝试交换代码而不是令牌(不允许使用response_type=token)。
使用带有随机散列的状态参数来防止OAuth身份验证过程中的CSRF。
定义默认范围，并验证每个应用程序的范围参数。

通路

限制请求(限制)以避免ddos/暴力攻击。
在服务器端使用HTTPS以避免MITM(中间人攻击)
使用带ssl的HSTS头避免ssl条带攻击。

输入

根据操作使用适当的HTTP方法：GET(read)、POST(create)、PUT/PATCH(replace/update)、DELETE(删除一条记录)，如果请求的方法不适合请求的资源，用405 Method Not Allowed响应。
根据要求验证内容类型Accept头(内容协商)，仅允许您支持的格式(如application/xml、application/json等)，如果不匹配，则使用406 Not Acceptable响应。
在您接受时验证已发布数据的content-type(如application/x-www-form-urlencoded、multipart/form-data、application/json等)。
验证用户输入以避免常见的漏洞(如XSS、SQL注入、远程代码执行等)。
不要在URL中使用任何敏感数据(凭证、密码、安全令牌或API密钥)，而是使用标准的Authorization头。
使用API网关服务启用缓存、Rate Limit策略(例如配额、峰值停止、并发速率限制)并动态部署API资源。

处理

检查所有端点是否在身份验证之后受到保护，以避免破坏身份验证过程。
应避免使用用户自己的资源ID。使用/me/orders而不是/user/654321/orders。
不要自动增加ID。改为使用UUID。
如果要分析XML文件，请确保未启用实体分析以避免XXE(XML外部实体攻击)。
如果您正在分析XML文件，请确保未启用实体扩展，以避免通过指数实体扩展攻击造成数十亿次笑声/XML爆炸。
使用cdn进行文件上载。
如果您处理的是大量的数据，请使用工作者和队列尽可能多地在后台处理，并快速返回响应以避免HTTP阻塞。
不要忘记关闭调试模式。

产量

发送X-Content-Type-Options: nosniff头。
发送X-Frame-Options: deny头。
发送Content-Security-Policy: default-src 'none'头。
拆下指纹头段-X-Powered-By、Server、X-AspNet-Version等。
强制content-type响应，如果返回application/json，则响应内容类型为application/json。
不要返回敏感数据，如凭据、密码、安全令牌。
根据完成的操作返回正确的状态代码。(如200 OK、400 Bad Request、401 Unauthorized、405 Method Not Allowed等)。

相关讨论

我有点惊讶带有客户端证书的SSL还没有被提到。当然，这种方法只有在您可以依靠由证书标识的用户社区时才真正有用。但许多政府/公司确实向其用户发布了它们。用户不必担心创建另一个用户名/密码组合，并且在每个连接上都建立了标识，因此与服务器的通信可以完全无状态，不需要用户会话。(不意味着上述任何/所有其他解决方案都需要会议)

相关讨论

这些答案中的每个人都忽略了真正的访问控制/授权。

例如，如果您的RESTAPI/Web服务是关于发布/获取医疗记录的，那么您可能需要定义访问控制策略，以确定谁可以访问数据以及在什么情况下访问数据。例如：

医生可以得到与他们有护理关系的病人的病历。
没有人可以在实习时间以外发布医疗数据(例如9到5)
最终用户可以获得他们自己的病历或他们作为监护人的患者的病历。
护士可以更新与护士属于同一单位的患者的病历。

为了定义和实现这些细粒度授权，需要使用一种基于属性的访问控制语言xacml，即可扩展的访问控制标记语言。

其他标准如下：

OAuth:id.联盟和授权委托，例如让服务代表我执行其他服务(Facebook可以发布到我的Twitter)
SAML:Identity Federation/Web SSO。SAML非常关注用户是谁。
WS-Security/WS-*标准：这些关注于SOAP服务之间的通信。它们是特定于应用程序级消息传递格式(SOAP)的，它们处理消息传递的各个方面，例如可靠性、安全性、机密性、完整性、原子性、事件…无覆盖访问控制，所有都是特定于SOAP的。

XACML是技术不可知论者。它可以应用于Java应用程序，.NET，Python，露比…Web服务、REST API等。

以下是有趣的资源：

Oasis Xacml网站
NIST ABAC标准

相关讨论

我使用过OAuth几次，还使用了其他一些方法(基本/摘要)。我全心全意地建议Oauth。以下链接是我见过的关于使用OAuth的最佳教程：

网址：http://hueniverse.com/oauth/guide/

相关讨论

我遇到过的关于安全的最好的一个帖子是在一个雨点结束。MySpace API使用OAuth也是出于安全考虑，您可以在restchess代码中完全访问它们的自定义通道，我对此做了很多探索。这是Mix的演示，你可以在这里找到帖子。

相关讨论

谢谢你的建议。最后，我们使用一个自定义HTTP头将标识令牌从客户端传递到服务，以准备将我们的RESTfulAPI和即将到来的Microsoft Zermatt标识框架集成在一起。我在这里描述了这个问题和我们的解决方案。我还听取了Tweakt的建议，购买了RESTful Web服务——如果您正在构建任何类型的RESTful API，这是一本非常好的书。

相关讨论

OWASP(OpenWebApplicationSecurityProject)有一些介绍Web应用程序开发各个方面的备忘表。这个项目是一个非常有价值和可靠的信息来源。关于REST服务，您可以查看：https://www.owasp.org/index.php/rest_security_作弊表

我会推荐Oauth 2/3。您可以在http://oauth.net/2上找到更多信息。/

相关讨论

我搜索了很多关于RESTful WS-Security的内容，最后我们还通过cookie从客户机到服务器使用令牌对请求进行身份验证。我使用Spring Security对服务中的请求进行授权，因为我必须根据已经在DB中的指定安全策略对每个请求进行身份验证和授权。

事实上，SOAP世界被安全标准很好地覆盖并不意味着它在默认情况下是安全的。首先，标准非常复杂。复杂性不是安全的好朋友，而XML签名包装攻击等实现漏洞在这里很普遍。

对于.NET环境，我没有多大帮助，但是"用Java构建Web服务"(一个10个作者的砖块)确实帮助了我理解WS-*安全体系，尤其是它的怪癖。

我想添加(与臭马特一致)，最简单的解决方案是向您的站点添加SSL证书。换句话说，请确保您的URL是https://。这将包括你的交通安全(公事公办)。使用restful url的想法是保持简单(不像ws*security/saml)，您可以使用oauth2/openid connect甚至基本身份验证(在简单的情况下)。但您仍然需要SSL/HTTPS。请检查ASP.NET Web API 2安全性：http://www.asp.net/web-api/overview/security(文章和视频)

REST本身没有提供安全标准，但是像OAuth和SAML这样的东西正在迅速成为这个领域的标准。但是，认证和授权只是您需要考虑的一小部分。许多与Web应用程序相关的已知漏洞非常适用于RESTAPI。您必须考虑输入验证、会话破解、不适当的错误消息、内部员工漏洞等。这是一个大问题。

因为@nathan最后得到了一个简单的HTTP头，一些人说OAuth2和客户端SSL证书。关键是…您的RESTAPI不需要处理安全性，因为这实际上应该超出API的范围。

相反，无论是Web代理背后的HTTP头(一种常见的方法，如SiteMinder、Zermatt甚至ApacheHTTPD)，还是像OAuth2一样复杂，都应该在其上放置一个安全层。

关键是请求应该在没有任何终端用户交互的情况下工作。所需要的只是确保与RESTAPI的连接经过身份验证。在JavaEE中，我们有一个EDOCX1 0的概念，它可以在EDCOX1 1中获得。部署描述符中还管理了URL模式的安全性，因此不需要再检查其余的API代码。

在WCF世界中，我将使用ServiceSecurityContext.Current来获取当前的安全上下文。您需要将应用程序配置为需要身份验证。

我上面的语句有一个例外，那就是使用nonce来防止重播(可能是攻击或者有人只提交了两次相同的数据)。该部分只能在应用程序层中处理。

对于Web应用程序的安全性，您应该看看owasp(https://www.owasp.org/index.php/main_page)，它为各种安全攻击提供了欺骗表。您可以采取尽可能多的措施来保护您的应用程序。关于API安全性(授权、身份验证、身份管理)，有多种方法(基本、摘要和OAuth)。OAuth1.0中有循环孔，因此可以使用OAuth1.0a(由于与规范有关，OAuth2.0没有被广泛采用)。

已经有一段时间了，但这个问题仍然是相关的，尽管答案可能有点改变。

API网关将是一个灵活且高度可配置的解决方案。我测试和使用了金刚相当多，真的很喜欢我所看到的。Kong提供了自己的admin rest API，您可以使用它来管理用户。

express-gateway.io是最新的，也是一个API网关。