שילוב API דורש לא רק בקרת גישה, אלא גם הבטחה של האותנטיות והיושרה של כל בקשה. לשם כך, אנו תומכים בחתימות HMAC (קוד אימות מסרים מבוסס Hash), כמו גם בהצפנת הגוף ופרמטרים של בקשות, המבטיחים הגנה על נתונים גם כאשר מועברים ברשתות פתוחות.
באמצעות HMAC, כל צד (לקוח ושרת) מאשר כי הבקשה נוצרה על ידי צד מורשה, לא שונתה לאורך הנתיב, ויש לה תוכן מוצפן.
מה מיושם
| מנגנון | תכלית ותועלת |
|---|---|
| חתימות HMAC | חתום על כל בקשה עם מפתח פרטי |
| שליטה בשלמות | וידוא שתוכן זה לא שונה במהלך ההעלאה |
| מבקש הצפנת גוף | השתמש ב ־ AES או ב ־ RSA כדי להגן על נתונים רגישים |
| חתום עם חותמת זמן | הגנת התקפה בהילוך חוזר |
| חתימה על פרמטרים של שאילתה | אימות של מחרוזת שאילתה ומטען באמצעות פונקציית חשיש |
איך זה עובד?
1. הלקוח יוצר גוף בקשה ומוסיף חותמת זמן
2. מחושב על ידי HMAC (למשל. SHA256) המבוסס על סוד ותוכן
3. החתימה מתווספת לכותרת (לדוגמה, ”X-חתימה”)
4. השרת מאשר חתימה, חותמת זמן ו ־ IP תקף
5. אם החתימה תואמת, הבקשה מבוצעת, אחרת היא נדחית
יתרונות לשילוב API
הגנה מפני החלפה או עיוות של הבקשה
היכולת לתקשר באופן מאובטח ללא TLS (ברשתות סגורות)
הגדל את האמון בקישור הנתונים
פלטפורמה או שפת עצמאות ספציפית
יישום גמיש עבור לקוחות מסוגים שונים: שולחנות מזומנים, שערים, ספקים
איפה חשוב במיוחד
אינטגרציה עם תשלום, מזומן או מערכות פיסקליות
APIs פועל בסביבה רב שכירות או שותף
מערכות עם דרישות אימות בקשה מוגברות
אינטראקציה בין שירותים פנימיים ללא אישור קבוע
חתימת HMAC והצפנה הוא הנעילה API שלך נגד זיוף וחבלה. מנגנונים אלה מאפשרים לך לבנות אינטגרציה אמינה גם בתנאים של דרישות אבטחה מוגברות.