HMAC-Signaturen und Anforderungsverschlüsselung
Mit HMAC bestätigt jede Partei (Client und Server), dass die Anfrage von einer autorisierten Partei erstellt wurde, entlang des Pfades nicht geändert wurde und über verschlüsselte Inhalte verfügt.
Was umgesetzt wird
| Mechanismus | Zweck und Nutzen |
|---|---|
| HMAC-Signaturen | Unterzeichnung jedes Antrags mit einem geheimen Schlüssel |
| Integritätsprüfung | Überprüfung, dass der Inhalt während der Übertragung nicht verändert wurde |
| Verschlüsselung des Hauptteils der Anfrage | Verwendung von AES oder RSA zum Schutz sensibler Daten |
| Signatur mit Zeitstempel | Schutz vor wiederholten und verzögerten Angriffen (Replay Attack) |
| Signatur von Abfrageparametern | Validierung von Query String und Payload über Hash-Funktion |
Wie geht das
1. Der Kunde bildet den Körper der Anfrage und fügt Timestamp hinzu
2. Berechnet HMAC (z.B. SHA256) basierend auf Geheimnis und Inhalt
3. Die Signatur wird zur Überschrift hinzugefügt (z.B. 'X-Signatur')
4. Server überprüft Signatur, Timestamp und gültige IP
5. Wenn die Signatur übereinstimmt, wird die Anforderung ausgeführt, andernfalls wird sie abgelehnt
Vorteile für API-Integrationen
Schutz vor Ersetzung oder Verzerrung der Anforderung
Sichere Kommunikation ohne TLS (in geschlossenen Netzwerken)
Erhöhung des Vertrauens in die Datenverbindung
Plattform- oder sprachspezifische Unabhängigkeit
Flexible Umsetzung für verschiedene Kundentypen: Kassen, Gateways, Anbieter
Wo es besonders wichtig ist
Integration in Zahlungs-, Kassen- oder Fiskalsysteme
APIs, die in einer Multi- oder Partnerumgebung ausgeführt werden
Systeme mit erhöhten Anforderungen an die Anforderungsprüfung
Interaktion zwischen internen Diensten ohne permanente Autorisierung
Die HMAC-Signatur und -Verschlüsselung ist Ihr API-Schloss gegen Fälschung und Manipulation. Solche Mechanismen ermöglichen eine zuverlässige Integration auch bei erhöhten Sicherheitsanforderungen.
Beliebte Themen
- API-Schlüssel und Token
- OAuth 2. 0 / OpenID Connect
- JWT (JSON Web Token)
- Rate limiting, IP white-list
- HMAC-Signaturen, Anforderungsverschlüsselung
- CORS und CSRF/XSS-Schutz
Hauptthemen
- API-Typen und Architektur
- Authentifizierung und Sicherheit
- Normen und Spezifikationen
- Integration mit externen Systemen
- Datenverarbeitung und Warteschlangen
- Protokollierung und Überwachung
- Skalierung und Leistung
- Entwicklung und Erprobung
- Dokumentation und Support
- Rechtliche und geschäftliche Aspekte
Kontakt aufnehmen
Füllen Sie das untenstehende Formular aus und wir melden uns umgehend bei Ihnen.