API entegrasyonları sadece erişim kontrolü değil, aynı zamanda her isteğin doğruluğunun ve bütünlüğünün güvencesini de gerektirir. Bunu yapmak için, HMAC imzalarını (Hash tabanlı Mesaj Kimlik Doğrulama Kodu), ayrıca açık ağlar üzerinden iletildiğinde bile veri koruması sağlayarak, isteklerin gövdesinin ve parametrelerinin şifrelenmesini destekliyoruz.
HMAC kullanarak, her bir taraf (istemci ve sunucu) isteğin yetkili bir taraf tarafından oluşturulduğunu, yol boyunca değiştirilmediğini ve şifrelenmiş içeriğe sahip olduğunu onaylar.
Ne uygulanıyor
| Mekanizma | Amaç ve faydalar |
|---|---|
| HMAC imzaları | Her isteği özel bir anahtarla imzala |
| Bütünlük kontrolü | Yükleme sırasında içeriğin değiştirilmediğini doğrulama |
| Gövde Şifrelemesi İste | Hassas verileri korumak için AES veya RSA kullanın |
| Zaman damgasıyla imzalanmış | Saldırı korumasını tekrar oynatma |
| Sorgu parametrelerini imzalama | Hash fonksiyonu aracılığıyla sorgu dizesi ve yükün doğrulanması |
Nasıl çalışır
1. İstemci bir istek gövdesi oluşturur ve zaman damgası ekler
2. HMAC tarafından hesaplanır (örn. SHA256) gizli ve içeriğe dayalı
3. İmza başlığa eklenir (örneğin, 'X-Signature')
4. Sunucu imzayı, zaman damgasını ve geçerli IP'yi doğrular
5. İmza eşleşirse, istek yürütülür, aksi takdirde reddedilir
API entegrasyonları için avantajlar
Talebin ikame edilmesine veya bozulmasına karşı koruma
TLS olmadan güvenli iletişim kurma yeteneği (kapalı ağlarda)
Veri bağlantısına olan güveni artırın
Platform veya dile özgü bağımsızlık
Farklı müşteri türleri için esnek uygulama: nakit masaları, ağ geçitleri, sağlayıcılar
Özellikle önemli olan yerlerde
Ödeme, nakit veya mali sistemlerle entegrasyon
Çoklu kiralama veya iş ortağı ortamında çalışan API'ler
Talep doğrulama gereksinimleri artan sistemler
Kalıcı izin olmadan dahili hizmetler arasındaki etkileşim
HMAC imzası ve şifreleme, sahteciliğe ve kurcalamaya karşı API kilidinizdir. Bu tür mekanizmalar, artan güvenlik gereksinimleri koşullarında bile güvenilir entegrasyon oluşturmanıza olanak tanır.