Есть несколько потребителей API под разные платформы, как ограничить для разных пользователей?

Question

iliyaisd @iliyaisd

Есть несколько потребителей API под разные платформы, как ограничить для разных пользователей?

Коллеги, подскажите пожалуйста. Есть API, есть несколько разных десктопных приложений (и будет ещё веб), которые его потребляют. Данные для всех одинаковые. Клиенты могут купить доступ не ко всем приложениям, и необходимо из остальных их не пускать. Ну понятно, что можно передавать на сервер из приложения, откуда мы подключаемся.
Но как застраховаться например от такой схемы: человек где-то раздобыл приложение, к которому он не имеет доступа, и сделал рероутинг запроса. Ну т.е. прописал в фаерволе правило типа если запрос идёт на https://www.example.com/api/endpoint?client=SOME_APP_1, то перенаправлять его на https://www.example.com/api/endpoint?client=SOME_APP_2. Насколько я помню, в каком-нибудь ipfw или сопоставимых по уровню это вообще элементарно делается.
Есть ли какие-то типичные схемы, как этого избежать?
Спасибо.

Вопрос задан более трёх лет назад
153 просмотра

16 комментариев

Подписаться 2 Средний 16 комментариев

Евгений @klim76

вы же как то идентифицируете пользователя на сервере, например токеном? Почему же не сделать проверку этого токена на принадлежность к определённому кругу сервиса?

Написано более трёх лет назад
iliyaisd @iliyaisd Автор вопроса

klim76, точно так же пользователь может запросить токен для соответствующей платформы, подменив URL.

Написано более трёх лет назад
Евгений @klim76

iliyaisd, интересная у вас какая то схема - обычно токены не запрашиваются пользователем а присваиваются пользователю сервером при удачной авторизации.
Т.О. получаем: пользователь user1 имеет доступ к сервисам srv1 srv3 и ему при авторизации присвоен некий токен йцукен123, что мешает при получении запроса к апи посмотреть токен запроса сравнить его с базой токенов пользователей узнать - имеет ли доступ этот токен(юзер) доступ к запрашиваемому ресурсу?
З.Ы. или у вас запросы без токенов ходят? :)

Написано более трёх лет назад
cicatrix @cicatrix

iliyaisd, вы пишете:
если запрос идёт на https://www.example.com/api/endpoint?client=SOME_APP_1, то перенаправлять его на https://www.example.com/api/endpoint?client=SOME_APP_2.

А ваш api разве не выдаст на запрос от SOME_APP_2 иные данные?

Написано более трёх лет назад
iliyaisd @iliyaisd Автор вопроса

Под "запросить" имелось в виду, что юзер пойдёт на сервис авторизации с логином и паролем и получит назад аксес токен. :) т.е., если юзер подменит параметр в запросе, то сервис просто не узнает, что на самом деле он идёт из неавторизованного приложения.
API всем выдаёт одинаковые данные.

Написано более трёх лет назад
Евгений @klim76

iliyaisd,
т.е., если юзер подменит параметр в запросе,

если подменит акцесс токен? Oauth 2 и тот не даёт 100% гарантию
Ну если вы решите данную проблему то вам наверное памятник поставят :)

Написано более трёх лет назад
sim3x @sim3x

Передавать на сервер из приложения доп инфу и если один раз пользователь зашел с одного устройства, а потом через секунду с другого предпринимать действия

Усложнить схему возможной утечки приложения

Написано более трёх лет назад
iliyaisd @iliyaisd Автор вопроса

klim76, ну понятно)

sim3x, есть ограничение по числу логинов, т.е. пользователь может иметь например 100 одновременных разрешённых. Это может быть хоть физически одна машина, хоть разные.

Написано более трёх лет назад
sim3x @sim3x

iliyaisd, Так не должно быть

1 машина = 1 токен

Написано более трёх лет назад
iliyaisd @iliyaisd Автор вопроса

sim3x, один коннект - один токен. На машине может быть запущено три разных приложения, каждое из которого будет сидеть с одного юзера, но с разными токенами. Ничто не мешает пользователю запустить неразрешённое приложение, подменить запрос на авторизацию и получить ещё один токен.

Написано более трёх лет назад
sim3x @sim3x

iliyaisd, вот в тот момент, когда юзер хочет получить еще один токен в то приложение, куда он уже получил токен, отзывать права у предыдущего токена

Написано более трёх лет назад
iliyaisd @iliyaisd Автор вопроса

sim3x, в том-то и дело, что это может быть легальный сценарий. Т.е. он должен иметь право получить до Х токенов (в сумме на все доступные приложения), где Х ему прописывается администратором.

Написано более трёх лет назад
iliyaisd @iliyaisd Автор вопроса

(это не очень правильно, но такой вот бизнес кейс был запрошен)

Написано более трёх лет назад
sim3x @sim3x

iliyaisd, еще раз

Есть пользователь - владелец аккаунта с возможностью до 100 коннектов
Авторизируйте его как хотите, хоть токеном, хоть логин-паролем

Но каждый коннект, должен иметь свой токен для доступа

Написано более трёх лет назад
iliyaisd @iliyaisd Автор вопроса

sim3x, так так и есть. Смотрите, два сценария.
а) я запускаю на своей машине 100 авторизованных приложений, получаю на них 100 токенов и работаю. Всё в порядке.
б) я запускаю на своей машине 50 авторизованных приложений и 50 неавторизованных, но в последних подменяю файрволом (или отладчиком) запрос на авторизацию, как будто это авторизованные приложения. Соответственно, получаю на них 50 аксес токенов и тоже работаю.

Написано более трёх лет назад
sim3x @sim3x

iliyaisd,
б) как подменяете авторизацию если кругом все зашифровано?

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

API

+1 ещё

Простой
Как правильно обработать и вставить массив app scripts?
- 1 подписчик
- 18 минут назад
- 3 просмотра
0

ответов
C#

+1 ещё

Простой
Как в Delphi импортировать внешнюю библиотеку классов на языке C#?
- 1 подписчик
- 7 часов назад
- 85 просмотров
0

ответов
C#

+1 ещё

Простой
Как решить проблему database is locked?
- 1 подписчик
- 17 апр.
- 77 просмотров
1

ответ
C#

Простой
C# и несколько CPU?
- 6 подписчиков
- 15 апр.
- 4061 просмотр
3

ответа
C#

+1 ещё

Простой
Как сделать смену обьекта при приближении?
- 1 подписчик
- 14 апр.
- 72 просмотра
1

ответ
Веб-разработка

+1 ещё

Простой
Как правильно в api реализовать систему уведомлений на сайт и в тг бота?
- 4 подписчика
- 14 апр.
- 1075 просмотров
2

ответа
Windows

+2 ещё

Простой
Как обеспечить относительный путь к БД SQLite?
- 1 подписчик
- 14 апр.
- 117 просмотров
3

ответа
C#

+1 ещё

Простой
Как понять что я выучил основы C#?
- 1 подписчик
- 12 апр.
- 489 просмотров
4

ответа
C#

+1 ещё

Средний
Почему не работают миграции при переходе на новый csproj формат?
- 1 подписчик
- 12 апр.
- 56 просмотров
1

ответ
C#

Простой
Что означает оператор => в linq c#?
- 1 подписчик
- 12 апр.
- 137 просмотров
2

ответа
Показать ещё Загружается…

Middle+ .Net(C#) developer

Zam.io

от 200 000 до 300 000 ₽

C# разработчик

САТЕЛ

от 120 000 до 200 000 ₽

Разработчик C# (криптография)

Avanpost

от 200 000 ₽

Разработка VST-плагина

19 апр. 2024, в 20:43

20000 руб./за проект

Нарисовать баннер для интернет-магазина

19 апр. 2024, в 20:35

500 руб./в час

Разработать несистемный алерт

19 апр. 2024, в 20:11

500 руб./за проект

вы же как то идентифицируете пользователя на сервере, например токеном? Почему же не сделать проверку этого токена на принадлежность к определённому кругу сервиса?
klim76, точно так же пользователь может запросить токен для соответствующей платформы, подменив URL.
iliyaisd, интересная у вас какая то схема - обычно токены не запрашиваются пользователем а присваиваются пользователю сервером при удачной авторизации.
Т.О. получаем: пользователь user1 имеет доступ к сервисам srv1 srv3 и ему при авторизации присвоен некий токен йцукен123, что мешает при получении запроса к апи посмотреть токен запроса сравнить его с базой токенов пользователей узнать - имеет ли доступ этот токен(юзер) доступ к запрашиваемому ресурсу?
З.Ы. или у вас запросы без токенов ходят? :)
iliyaisd, вы пишете:
если запрос идёт на https://www.example.com/api/endpoint?client=SOME_APP_1, то перенаправлять его на https://www.example.com/api/endpoint?client=SOME_APP_2.

А ваш api разве не выдаст на запрос от SOME_APP_2 иные данные?
Под "запросить" имелось в виду, что юзер пойдёт на сервис авторизации с логином и паролем и получит назад аксес токен. :) т.е., если юзер подменит параметр в запросе, то сервис просто не узнает, что на самом деле он идёт из неавторизованного приложения.
API всем выдаёт одинаковые данные.
iliyaisd,
т.е., если юзер подменит параметр в запросе,

если подменит акцесс токен? Oauth 2 и тот не даёт 100% гарантию
Ну если вы решите данную проблему то вам наверное памятник поставят :)
Передавать на сервер из приложения доп инфу и если один раз пользователь зашел с одного устройства, а потом через секунду с другого предпринимать действия

Усложнить схему возможной утечки приложения
klim76, ну понятно)

sim3x, есть ограничение по числу логинов, т.е. пользователь может иметь например 100 одновременных разрешённых. Это может быть хоть физически одна машина, хоть разные.
iliyaisd, Так не должно быть

1 машина = 1 токен
sim3x, один коннект - один токен. На машине может быть запущено три разных приложения, каждое из которого будет сидеть с одного юзера, но с разными токенами. Ничто не мешает пользователю запустить неразрешённое приложение, подменить запрос на авторизацию и получить ещё один токен.
iliyaisd, вот в тот момент, когда юзер хочет получить еще один токен в то приложение, куда он уже получил токен, отзывать права у предыдущего токена
sim3x, в том-то и дело, что это может быть легальный сценарий. Т.е. он должен иметь право получить до Х токенов (в сумме на все доступные приложения), где Х ему прописывается администратором.
(это не очень правильно, но такой вот бизнес кейс был запрошен)
iliyaisd, еще раз

Есть пользователь - владелец аккаунта с возможностью до 100 коннектов
Авторизируйте его как хотите, хоть токеном, хоть логин-паролем

Но каждый коннект, должен иметь свой токен для доступа
sim3x, так так и есть. Смотрите, два сценария.
а) я запускаю на своей машине 100 авторизованных приложений, получаю на них 100 токенов и работаю. Всё в порядке.
б) я запускаю на своей машине 50 авторизованных приложений и 50 неавторизованных, но в последних подменяю файрволом (или отладчиком) запрос на авторизацию, как будто это авторизованные приложения. Соответственно, получаю на них 50 аксес токенов и тоже работаю.
iliyaisd,
б) как подменяете авторизацию если кругом все зашифровано?

Answer 1 · 2017-12-12 01:33:32

Александр @alexr64

Авторизация.

Ответ написан более трёх лет назад

Комментировать

Есть несколько потребителей API под разные платформы, как ограничить для разных пользователей?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт