API-Integrationen erfordern nicht nur eine Zugriffskontrolle, sondern auch die Gewährleistung der Authentizität und Integrität jeder Anfrage. Zu diesem Zweck unterstützen wir HMAC-Signaturen (Hash-based Message Authentication Code) sowie die Verschlüsselung von Body und Request-Parametern und gewährleisten so den Datenschutz auch bei der Übertragung über offene Netzwerke.
Mit HMAC bestätigt jede Partei (Client und Server), dass die Anfrage von einer autorisierten Partei erstellt wurde, entlang des Pfades nicht geändert wurde und verschlüsselten Inhalt hat.
Was umgesetzt wird
| Mechanismus | Zweck und Nutzen |
|---|---|
| HMAC-Unterschriften | Signieren Sie jede Anforderung mit einem privaten Schlüssel |
| Integritätskontrolle | Überprüfung, dass der Inhalt während der Übertragung nicht verändert wurde |
| Verschlüsselung des Abfragetextes | Verwendung von AES oder RSA zum Schutz sensibler Daten |
| Unterschrift mit timestamp 'om | Schutz vor wiederholten und verzögerten Angriffen (Replay Attack) |
| Abfrageparameter signieren | Validierung von Query String und Payload über Hash-Funktion |
Wie geht das
1. Der Kunde bildet den Körper der Anfrage und fügt Timestamp hinzu
2. Berechnet HMAC (z.B. SHA256) basierend auf Geheimnis und Inhalt
3. Die Signatur wird zur Überschrift hinzugefügt (z.B. 'X-Signatur')
4. Server überprüft Signatur, Timestamp und gültige IP
5. Wenn die Signatur übereinstimmt, wird die Anforderung ausgeführt, andernfalls wird sie abgelehnt
Vorteile für API-Integrationen
Schutz vor Ersetzung oder Verzerrung der Anforderung- Sichere Kommunikation ohne TLS (in geschlossenen Netzwerken)
- Erhöhung des Vertrauens in die Datenverbindung
- Plattform- oder sprachspezifische Unabhängigkeit
- Flexible Umsetzung für verschiedene Kundentypen: Kassen, Gateways, Anbieter
Wo es besonders wichtig ist
Integration in Zahlungs-, Kassen- oder Fiskalsysteme- APIs, die in einer Multi-Leasing- oder Partner-Umgebung ausgeführt werden
- Systeme mit erhöhten Anforderungen an die Anforderungsprüfung
- Interaktion zwischen internen Diensten ohne permanente Autorisierung
Die HMAC-Signatur und -Verschlüsselung ist Ihr API-Schloss gegen Fälschung und Manipulation. Solche Mechanismen ermöglichen eine zuverlässige Integration auch bei erhöhten Sicherheitsanforderungen.
Beliebte Themen
Hauptthemen
Kontakt aufnehmen
Füllen Sie das untenstehende Formular aus und wir melden uns umgehend bei Ihnen.