Laravel Türkiye Discord Kanalı Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

Api Güvenliği Hakkında Yardımcı Olabilir misiniz ?

koti42

Merhaba dostlar bizim 2 adet sitemiz var birisi danışmanlık birisi kalfalık sitesi, Kalfalık sitesine üye olan kullanıcılara danışmanlık sitemizden indirim kodu vereceğiz ürünler için.

Kodları oluşturmakta sıkıntı yok bunları rahatça yapabiliyoruz.

ama örnek veriyorum example.com/api/registerDiscount bu api linkini bulan birisi buraya düz bir istek attığın da istediği kadar indirim kodu oluşturma ihtimali çıkmıyor mu ortaya ?

Aklım da tam olarak canlandıramıyorum fakat bunun güvenliği tam olarak nasıl sağlanabilir acaba ?

Çünkü bizde oluşan kodlar kalfa tarafına da kaydedilmesi ve eklenmesi gerekiyor.

TurgutEfeYksel

koti42

İp adresi kısıtlaması yapabilirsiniz
Random bir key oluşturup query string olarak o keyin olup olmadığını kontrol edebilirsiniz
Authentication ekleyerek yetkilendirme ile yapabilirsiniz

Bir sürü yol çıkar böyle böyle siz indirim kodu oluşturmak için isteği frontend üzerinden mi yoksa backend üzerinden gönderiyorsunuz mesele burada patlak veriyor aslında yukarıda bahsettiklerimi backend üzerinden gönderiyorsanız yapabilirsiniz.

koti42

TurgutEfeYksel 2 farklı web sitesi ile yapılacak bu işlem kayıt yapılan site başka onun backend tarafından bize istek atılıp o kod oluşturulacak. Authentication durumu yapamıyorum o yüzden.

İp adresi kısıtlaması da olmaz çünkü farklı yüzlerce kullanıcı üye olabilir siteye üye olduğun da o kullanıcının ip adresinden istek gelecek sunucuya.

Random key sabit kalırsa ilerisi için problem yaratabilir mi emin olamıyorum.

mgsmus

koti42 IP adresi kısıtlaması ile kastedilen, kalfalık sitesinden danışmanlık sitesine istek atıyorsanız ilgili endpointlere dışarıdan sadece kalfalık sitesinden istek atacak şekilde sınırlama yapacaksınız. Böylece endpointe sadece danışmanlık sitesinin kendisi (ki burada rotayı auth ile korursunuz) ve kalfalık sitesi ulaşabilecek.

Diğer bir ek önlem de (ip kısıtlaması mutlaka olmalı, o yüzden ek diyorum):
https://laravel.com/docs/9.x/urls#signed-urls

Ayrıca 3. parti API Gateway uygulamalarına bakabilirsiniz (bunu kendi API adresinizin önüne kuruyorsunuz, tüketiciler bu yeni adrese istek atıyor, gateway ise isteği sizin orijinal endpointinize yönlendiriyor, araya middleware olarak girdiği için güvenlik, load balancing, monitoring... gibi işlemleri yapabiliyorsunuz. Kullanıcı sizin gerçek API adreslerinizi bilmiyor.)
https://konghq.com/products/api-gateway-platform
https://apisix.apache.org/
https://tyk.io/open-source-api-gateway/
https://github.com/eolinker/goku_lite
...

koti42

mgsmus Tamamdır abi şimdi anladım, Teşekkür ederim.

koti42

mgsmus Abi müsaden ile bir şey daha sormak istiyorum, hani emin olamadım pek. Kalfa tarafından bir kullanıcı üye oldu diyelim. İsteği sunucunun ip'sinden atılıyor değil mi kullanıcı o api'ye ulaşıp eliyle istek attığın da kendi ip'si, sunucudan kayıt olduğun da sunucunun ip'si geliyor sanırım. emin olamadım bu konu da.

bu şekilde geldiğin de mesela abi o sunucunun ip'sinden istek gelmediyse nasıl engelleyebilirim.

koti42

koti42
Rotaya gelen ip adresini if ile kontrol edip doğru ise imzalama yaparak doğrulama yapmayı düşündüm, ama mantıklı olur mu emin değilim abi.

mgsmus

koti42 İstek sunucu API'sinden atılıyor. Kullanıcı elle istek atmaya çalışırsa kendi IP'sinden istek atmış olur. IP izin verme ya da engelle işlemi güvenlik duvarı yazılımları ile yapılıyor. Ya sunucuya direkt girip siz kurup ayarlayacaksınız ya da hizmet aldığınız yer bir sunucu yönetim arabirimi sunuyorsa orada da olabilir. Genelde network ve/veya firewall alanlarında inbound diye geçer. Kurcalarsanız bulursunuz.

mgsmus

koti42 IP adresi kontrolü yapan bir middleware yapabilirsiniz.

koti42

mgsmus Teşekkür ederim abi kafamda ki soru işaretleri gitti 🙂

koti42

mgsmus Anladım abi, tamamdır. Çok teşekkür ettim.