Основы безопасности API
Очень вводный доклад про то, что надо хоть немного думать о безопасности API. В основном состоит из показательных примеров, как не надо делать, но ничего космического, топ-10 OWASP.
Некоторые интересные идеи:
- Делать все проверки не только на бэке (где они обязательны), но и на клиенте. Если какой-то запрос вызвал ошибку бэка, то это либо баг фронта, либо кто-то пытается ломать API.
- Явно помечать публичные API, чтобы не гадать ничего (“явное лучше неявного”).
- Вынести проверку авторизации в отдельный слой, чтобы не дублировать код и мониторить изменения политик.
В конце докладчик немного прошелся по токенам (упомянув убогость JWT) и гейтвеи.
Комментарии