Co je autentizace API?
Autentizace API je způsob, jak API ověří, kdo ho volá, ještě než odpoví. Když jeden systém požádá přes API druhý o data, API potřebuje vědět, že požadavek přichází z důvěryhodného zdroje. Autentizace tuto totožnost zkontroluje. Je to zámek na dveřích, který rozhoduje, kdo se dostane dovnitř. Navazující krok, autorizace, rozhoduje o tom, co smí dotyčný uvnitř dělat.
Lidsky řečeno
Autentizace API je jako prokázat se občankou na recepci. Recepční o vás nemusí vědět všechno, stačí jí, že jste ten, za koho se vydáváte. Jakmile vaše totožnost sedí, dostanete kartičku, a ta na každých dveřích dokládá, že jste už prošli recepcí.
Běžné metody
- API klíče — dlouhý tajný řetězec, který posíláte s každým požadavkem. Jednoduché, ale použít ho může kdokoli, kdo ho má, takže s ním zacházejte jako s heslem.
- OAuth tokeny — krátkodobé tokeny vydané po přihlášení. Standard pro to, aby aplikace jednala jménem uživatele, aniž by znala jeho heslo.
- JWT (JSON Web Token) — podepsaný token, který nese údaje o totožnosti a ověří se bez dotazu do databáze.
- mTLS — obě strany se prokážou certifikátem, časté u citlivé komunikace mezi systémy.
Proč na tom záleží
- Chrání data. K vašemu API a datům za ním se dostanou jen ověření volající.
- Sleduje, kdo co udělal. Ověřené požadavky se dají logovat podle volajícího, což pomáhá při auditech i ladění.
- Omezuje rozsah škody. Uniklý klíč zneplatníte, aniž byste museli vypnout celý systém.
Na co si dát pozor
- Tajné klíče natvrdo v kódu. Klíče commitnuté do repozitáře uniknou. Použijte proměnné prostředí nebo správce tajemství.
- Záměna autentizace a autorizace. To, že víte, kdo dotyčný je, neznamená, že smí všechno.
- Tokeny, kterým nikdy nevyprší platnost. Ukradený token zůstane použitelný napořád. Držte je krátkodobé a klíče pravidelně měňte.
Související články
- Co je API klíč? - Nejjednodušší způsob, jak rozpoznat volajícího, a jeho meze.
- Co je API gateway? - Kde se autentizace často vynucuje pro mnoho API naráz.
- Co je REST API? - Nejběžnější druh API, které autentizace chrání.
Chcete být o krok napřed?
Nenechte si utéct naše nejlepší postřehy. Žádný spam, jen praktické analýzy, pozvánky na exkluzivní eventy a shrnutí podcastů přímo do vaší schránky.