Kapitel 7. API-Authentifizierung und Autorisierung

Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com

Im vorigen Kapitel hast du gelernt, wie du API-basierte Systeme bedrohlich modellieren kannst, und die OWASP API Security Top 10 kennengelernt. Die Attendee API ist bereit, Datenverkehr von außen zu empfangen, aber wie genau wird der Nutzer der API identifiziert? In diesem Kapitel werden wir uns mit der Authentifizierung und Autorisierung von APIs beschäftigen. Die Authentifizierung sagt uns, wer der Anrufer ist, und die Autorisierung sagt uns, was er tun darf.

Zunächst wird erläutert, was Authentifizierung und Autorisierung für APIs bedeutet. Dann wird auf die Bedeutung der Sicherung von APIs und die möglichen Einschränkungen bei der Verwendung von API-Schlüsseln und Token eingegangen. OAuth2 ist ein Token-basiertes Autorisierungs-Framework, das 2012 eingeführt wurde und sich schnell zum Industriestandard für die Sicherung von APIs und die Festlegung der Aktionen, die eine Anwendung für eine API durchführen kann, entwickelt hat. Ein großer Teil dieses Kapitels befasst sich mit OAuth2 und den verschiedenen Sicherheitsansätzen, die sowohl für Endnutzer als auch für systembasierte Interaktionen angeboten werden. Verbraucher von APIs müssen manchmal Details über den Nutzer wissen, in dessen Namen sie handeln - wie dies erreicht werden kann, zeigen wir mit OIDC.

Das Kapitel veranschaulicht die verschiedenen ...

Get Beherrschung der API-Architektur now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.