API’ler (Uygulama Programlama Arayüzleri), internet üzerinden yazılım etkileşimi ve entegrasyonunun giderek kritik yönleri haline geliyor ve hızlı ve etkili iletişime izin veriyor.
yazılımın nasıl uygulandığını bilmek.
API’lerin birçok avantajı ve çeşitli işlevleri, onları birçok şekilde ve çeşitli nedenlerle kötüye kullanmayı amaçlayan tehdit aktörleri için çekici hale getirdi. Yakın zamanda yapılan bir anketin ardından, kötü amaçlı API saldırı trafiğinin son 12 ayda %117 arttığı ve bunun da daha verimli API güvenlik önlemleri alma gereğini vurguladığı gözlemlendi.
API Güvenliği, API’lerin karşılaştığı güvenlik açıklarını ve güvenlik tehditlerini azaltmak için uygulanan çeşitli stratejiler, uygulamalar ve prosedürler olarak tanımlanabilir. API güvenliği, API’leri yetkisiz erişim, veri ihlalleri, hizmet reddi saldırıları ve daha fazlası gibi çeşitli güvenlik tehditlerinden korumayı amaçlar. Önemli API güvenlik hedeflerinden bazıları şunlardır; şifreleme, kimlik doğrulama, veri doğrulama ve OAuth2 kullanımı.
OAuth2, önceden tanımlanmış kapsamlar ve izinlerle belirteç tabanlı güvenli yetkilendirme kullanarak kaynaklara erişmenin güvenli ve güvenilir bir yolunu sağlar.
OAuth2 nedir?
OAuth2 veya OAuth 2.0, web tabanlı hizmetler için yetkilendirme akışını kontrol eden ve kullanıcıların kimlik bilgilerini paylaşmadan web tabanlı kaynaklara erişmesine izin veren bir çerçevedir. API’leri kullanırken güvenli bir kullanıcı kimlik doğrulama yöntemi sağlar ve geliştiricilerin ve API yöneticilerinin web tabanlı uygulamalar için ayrıntılı kullanıcı izinleri oluşturmasına olanak tanır.
Neden OAuth2 kullanıyorsunuz?
OAuth2, API kullanıcı kimlik doğrulaması ve yetkilendirmesini bir üçüncü taraf merkezi kimlik sağlayıcısına (IdP) yaptırmanıza olanak tanır. Kullanıcılar API’yi kullanmak istediklerinde, IdP’de oturum açarlar ve onlara API’yi kullanmaları için zamana bağlı izinler veren bir erişim belirteci verilir. Bu erişim belirteci daha sonra diğer API’lere, hizmetlere ve uygulamalara sunulur. OAuth2 kullanmanın diğer avantajları şunlardır:
- IdP, kesinlikle işlevselliğe odaklanır ve dolayısıyla bu konuda verimlilik sağlar.
- Diğer kimlik kaynaklarına federasyon gibi işlevsellik veya çok faktörlü kimlik doğrulama gibi güvenlik önlemleri, orijinal kod tabanını değiştirmeden bir IdP’ye kolayca entegre edilebilir.
- IdP, sistem erişimini analiz etmek, etkinleştirmek ve devre dışı bırakmak için merkezi bir noktadır.
- Tüm Kişisel Tanımlanabilir Bilgiler (PII) merkezi bir sistemde bulunduğundan ve bir ihlal girişimi durumunda kilitlenebildiğinden, IdP ek bir güvenlik avantajına sahiptir.
OAuth ve OAuth2 karşılaştırması
OAuth ve OAuth2, web tabanlı hizmetler için yetkilendirme akışını kontrol eden çerçevelerdir. Bir tüketicisi, hizmet sağlayıcısı ve kullanıcısı olan OAuth’tan farklı olarak OAuth2’nin bir istemcisi, yetkilendirme sunucusu, kaynak sunucusu ve kaynak sahibi vardır. İki sürüm arasındaki en büyük fark, görevleri nasıl kategorize ettikleri ve son kullanıcının bunları nasıl deneyimlediğidir.
OAuth2 standartları – Temel
OAuth’un şekillendirilebilir ve genişletilebilir olduğuna dikkat etmek önemlidir. Bu temel özellikler, yaygın olarak kullanılan temel OAuth standartlarının geliştirilmesinde kilit öneme sahiptir. Her OAuth2 standardının belirli bir kullanım durumu vardır ve bir API üzerinde aynı anda uygulanması zorunlu değildir. Temel OAuth2 standartları aşağıdadır:
- RFC 6749 Ve RFC 6750 – Bu iki standart, en önemli OAuth standartlarını temsil eder. İlki, hibe adı verilen ana kimlik doğrulama akışını kapsarken, ikincisi, bir hamiline belirteç haline geldiğinde erişim belirtecinin (bir hibenin son ürününü temsil eden) nasıl kullanılması gerektiğini kapsar.
- OpenID Bağlantısı (OIDC) – OpenID Connect, kimlik doğrulama bilgilerine erişim sağlayan, profil olarak da bilinen bir OAuth2 uzantısıdır. OAuth, OIDC kullanmadan çalışabilmesine rağmen, OAuth2 ve OIDC genellikle birlikte uygulanır.
- RFC 7662 – Bu standart iç gözlem kullanır ve onu oluşturan OAuth2 sunucusuyla iletişim kurarak erişim belirteçlerinin doğrulanmasına izin verir. Token Introspection, JWT’lere ve diğer bağımsız belirteç biçimlerine bir alternatif sunar. Belirteç iç gözlemi, kaynak sunucuları veya diğer dahili sunucular tarafından kullanılması amaçlanan bir erişim belirteci hakkında bilgi sorgulayan bir protokolü tanımlar.
- RFC 7519 – Bu OAuth2 standardı, verileri bir JSON nesnesi olarak taraflar arasında güvenli bir şekilde iletmenin kompakt bir yolunu tanımlamak için JSON Web Simgesini (JWT) kullanan bağımsız bir standarttır. Veriler tipik olarak, HMAC algoritmasına sahip bir gizli anahtar veya RSA veya ECDSA kullanan bir genel/özel anahtar çifti kullanılarak bir kriptografik dijital imza kullanılarak doğrulanır ve güvenilir hale gelir.
- RFC 7636 – Bu standart, birkaç API tabanlı saldırı riskini azaltmayı amaçlayan bir güvenlik özelliği olan Kod Değişimi için Prova Anahtarını (PKCE) özetlemektedir. Kötü amaçlı bir uygulama tarafından yetkilendirme kodunun ele geçirilmesini önlemek için tasarlanmış, mobil cihazlardaki genel istemciler içindir. PKCE, Yetkilendirme Kodu hibesini kullanan müşteriler için önerilen bir standarttır.
OAuth2 standartları – Uzmanlaşmış
Temel OAuth standartlarının yanı sıra, belirli işlevlere sahip özel standartlar da mevcuttur. “Uzmanlaşmış” kategorisine giren OAuth standartlarında, IdP’nin onları desteklediğini gösteren merkezi bir havuz yoktur. Bu nedenle, kullanmadan önce teknik belgeleri baştan sona okumak çok önemlidir. Özel OAuth standartları şunları içerir:
- RFC 8525 – OAuth2 hibelerini ve mobil uygulamaları kapsar. RFC 8525, mobil uygulamaların sır saklayamaması ve yüksek kullanıcı girişi gerektirmesi gerçeğini hafifletmek için yürürlüğe girdi. Kimlik doğrulamanın, yerleşik bir kullanıcı aracısı (web görünümleriyle uygulanan gibi) yerine harici bir kullanıcı aracısında (tipik olarak tarayıcı) gerçekleştirilmesine izin verme.
- RFC 9068 – Farklı IdP’lerin ve kaynak sunucularının birlikte çalışmasını mümkün kılarak, JWT erişim belirteçlerinin standart bir biçimde nasıl belirtileceğini ayrıntılarıyla açıklar.
- RFC 8628 – Televizyonlar gibi sınırlı kullanıcı giriş seçeneklerine sahip kullanıcılar için tasarlanmış, cihaz hibesi adı verilen ek bir yetkinin kullanımını ayrıntılı olarak açıklar. Bu, kullanıcıların cep telefonu veya bilgisayar gibi ikincil bir giriş cihazı kullanarak oturum açmasına izin verirken orijinal istemcinin erişim belirtecini almasına izin verir.
- RFC 7591 – Bu standart, temel OAuth2 standartlarında nadir görülen bir özellik olan dinamik müşteri kaydına izin verir. Bu, kimlik doğrulaması için olabildiğince çok benzersiz istemciye ihtiyaç duyan kullanıcılar için özellikle kullanışlıdır.
API’lerinizi korumak için OAuth2 nasıl kullanılır?
API’nizin güvenliğini sağlamak amacıyla OAuth2’yi kullanmak için şu adımları izleyebilirsiniz:
- API’nizi Google, Facebook veya başka bir popüler sağlayıcı gibi bir OAuth2 sağlayıcısına kaydedin. Bu, sağlayıcının kimlik doğrulama ve yetkilendirme hizmetlerine erişmenizi sağlayacaktır.
- API’nizi OAuth2 kimlik doğrulamasını destekleyecek şekilde yapılandırın. Bu genellikle yetkilendirme kodu, örtülü ve istemci kimlik bilgileri gibi çeşitli OAuth2 akışlarını işlemek için uç noktaların ayarlanmasını içerir.
- OAuth2 sağlayıcısının kimlik doğrulama ve yetkilendirme hizmetlerini API’nize entegre edin. Bu genellikle, kimlik doğrulama ve yetkilendirme isteklerini işlemek için sağlayıcının SDK’sını veya API’sini kullanan API’nize kod eklemeyi içerir.
- Güvenli olduğundan ve kullanıcıların OAuth2’yi kullanarak kaynaklara erişim için kimlik doğrulaması ve yetkilendirme yapabildiğinden emin olmak için API’nizi test edin.
Çözüm
Güvenli API’lere yönelik sürekli artan ihtiyaç, tam da bunu yapmak için tasarlanmış çok sayıda güvenlik aracının ve sürecinin geliştirilmesine yol açmıştır. En yaygın olanı OAuth2’dir. OAuth2, işlevselliğin kurcalanmamasını sağlarken kimlik doğrulamasına odaklanarak standartlaştırılmış ve özel API güvenliği sunar. OAuth2, dokümantasyonu ve kullanımı açısından biraz karmaşık olabilir; ancak çok sayıda kullanım durumuna hitap eder ve birleştirilebilir ve genişletilebilir özellikleri sayesinde sürekli iyileştirmelere ve yeni standartların geliştirilmesine olanak tanır.
