Ho un'API Desktop scritta in C ++. All'interno di questa API chiamo un'API REST per registrarmi con il mio servizio (utilizzando la tipica convalida dell'utente e-mail). L'API REST è protetta con ID e SECRET; le richieste, incluso l'ID, sono HMAC con il segreto, in un modo tipico.
L'archiviazione di un ID e di un SEGRETO in un'app desktop è ovviamente una vulnerabilità in attesa di essere sfruttata. quali sono le altre opzioni o le migliori pratiche in questo scenario?
Se l'accesso alla tua API REST deve essere limitato, dovresti trattarlo come qualsiasi applicazione web. L'utilizzo di un token segreto fisso è una tecnica sicurezza attraverso l'oscurità , che va contro i principi di sicurezza accettati come Principio di Kerckhoffs e massima di Shannon.
Il meccanismo standard per l'autenticazione nelle API REST è una chiave API, che è un lungo token casuale dato agli utenti. La chiave API agisce sia come nome utente che come password, in quanto è univoca e segreta.
Ci sono due modi per fornire questo tipo di autenticazione:
Dato che dovresti usare HTTPS per i metodi entrambi in ogni caso, sceglierei la prima opzione. La sicurezza del trasporto consente di impedire la modifica dei payload e mantiene segreta la chiave API.
Leggi altre domande sui tag appsec