Firma HMAC e crittografia delle richieste
Con HMAC, ogni lato (client e server) conferma che la richiesta è stata creata da una parte autorizzata, non è stata modificata durante il percorso e ha contenuto criptato.
Cosa è stato implementato
| Meccanismo | Assegnazione e vantaggi |
|---|---|
| Firma HMAC | Firma ogni richiesta con chiave segreta |
| Controllo integrità | Verifica che il contenuto non è stato modificato durante la trasmissione |
| Crittografia corpo query | Uso AES o RSA per proteggere i dati sensibili |
| Firma timestamp's | Protezione da attacchi ripetuti e ritardati (replay attack) |
| Firma impostazioni query | Validazione query string e payload tramite funzione hash |
Come funziona
1. Il client crea il corpo della query e aggiunge timestamp
2. Calcolato da HMAC (ad esempio SHA256) in base al segreto e al contenuto
3. La firma viene aggiunta all'intestazione (ad esempio, X-Firma)
4. Il server controlla la firma, il timesthamp e l'IP valido
5. Se la firma corrisponde, la richiesta viene eseguita, altrimenti viene rifiutata
Vantaggi per le API
Protezione contro la sostituzione o la distorsione della query
Interazione sicura senza TLS (reti chiuse)
Maggiore fiducia nel canale dati
Indipendenza da una particolare piattaforma o lingua
Implementazione flessibile per diversi tipi di client: cassa, gateway, provider
Dove è particolarmente importante
Integrazione con i sistemi di pagamento, cassa o fiscale
API che operano in ambienti multi-server o partner
Sistemi con requisiti elevati di verifica delle richieste
Interazione tra servizi interni senza autorizzazione continua
La firma HMAC e la crittografia sono il lucchetto API da contraffazione e interferenza. Tali meccanismi consentono di creare un'integrazione affidabile anche in condizioni di sicurezza elevate.
Contattaci
Compila il modulo qui sotto e ti risponderemo al più presto.