# API 驗證授權，你所該知道的那些事 ／ John Liu @ TW（劉奕為） {%hackmd @ModernWeb/HkqZxb98v %} ### [簡報下載](https://s.itho.me/modernweb/2020/Slides/d202.pdf) > 共筆從這開始 ~~技術長~~ 打雜 每週二晚上[桌遊店](https://www.google.com.tw/maps/place/DeRoot%E4%BC%91%E9%96%92%E7%A9%BA%E9%96%93/@25.0406952,121.5303955,17z/data=!3m1!4b1!4m5!3m4!1s0x3442a97c6ba7c8a5:0xc2885c6f0e4f019e!8m2!3d25.0406952!4d121.5325842?shorturl=1)固定會討論web技術沒有的話就打桌遊 歡迎 8:00 後過來～ by JohnLiu ## 關於驗證 > 介紹驗證常見形式與特色 ### 驗證vs授權 * 驗證 * Authentication * 你是誰 * HTTP 401 * 授權 * Authorization * 你可以做甚麼 * HTTP 403 ### 驗證四要素 * Ownership-based authentication (你有什麼) * 實體物品,如實體金鑰(USB)，信用卡・AuthenticatorApp * Characteristic-based authentication(你是什麼) * 多為生物識別,如touchID指紋辨識虹膜・語音等等。 * Knowledge-based authentication (你知道什麼) * 最常見，只有特定用戶知道的資訊，如密碼，PINcode * Location-based authentication(你在哪裡) * 與特定主機的連接或利用GPS信號來識別位置 * 不同地方登入，陌生地點登入之類的檢查。 ### Password-based authentication * 最常見的驗證機制·透過一組**帳號密碼**做使用者驗證 * 常使用Salt機制，模糊化密碼 * 此密碼不能被反推 * SHA-256最常用 * [PBKDF2](https://en.wikipedia.org/wiki/PBKDF2)可以抵禦彩虹表攻擊 * 需注意**字典攻擊**，定期透過password資料庫試user密碼 * 常見實作**2-step authentication**，先密碼後PIN值 * 透過兩階段驗證，知道你是誰 * 常見的為Google Authenticator ### 2FA ( two-factor authentication ) * 又稱**多重要素驗證**，用戶要通過兩種以上的認證機制之後·才能得到授權 * 最常見 1.先透過密碼(你知道什麼)再透邊指紋所識登入(你是什麼) 2.先透過密碼(你知道什麼)再透過特定App登入(你擴有什 * 常用在金融相關App or 公司內部登入服務 ### OTP ( one-time password ) * 一次性密碼，又稱動態密碼或單次有效密碼 * 常見透過手機裝置或Email收取一次性密碼 * 比較高規格的安全防護需求-RSA token * 實體載具 *  * 蘋果提出之 one-time password建議規格(獲得 Google支持) ``` 747723 1s your Exampteco authentication code. @example,com #747723 ``` * PIN 的全名就叫 Personal identification number ## 關於授權 > 介紹授權常見的JWT. ### JWT ( Json Web Token) * TOKEN - 令牌、通行證 * 驗證授權常用機制，利用有規則字串辨識用戶 * 透過token知道這個人是誰 * 更符合設計 RESTfulAPI時「Stateless無狀態」原則 * 常用在 SSO(Single SignOn)使用情境、無關安全議題操作權限授與、App與IOT裝置串接API * SSO - 多個服務在同一個網站登入(Ex. Gmail、Drive) * 相較session和cookie・安全性提高 * 不須對資料庫做操作 （使用者資料可以存在前端）  * token在client端會存在localstorage ### JWT structure  > payload就是資料主體啦 ### JWT payload - registrered claims > 建議要有的欄位 > 但是不是填了就會有效，要自己去實作  3 ## 程式碼範例與總結 > Ruby與 Python 範例 Code  ### JWT 全貌 > 中間用`.`區隔  * 有工具可以直接解碼  ### 關於Base64 > 不是拿來加密，他有一定的規則，就是只能拿來編碼 ### JWT的資安問題 1. Secret Key的對稱問題 * 解決方式: * 使用非對稱加密方式(RSA) * 使用組合式，或分散式金鑰 2. 非法資料問題 * 解決方式: * 使用aud, exe等JWT參數做資料的正確性核對 3. 密鑰洩漏&不指定演算法問題 4. 現實事件: * [Apple 2020/6 JWT漏洞攻撃者可以通過連結・訪問受害者帳戶](https://bhavukjain.com/blog/2020/05/30/zeroday-signin-with-apple/) 推薦閱讀:JWT做api認證安全嗎?.|by Chestermo| Medium ### 常見API加密範例-加密後簽章 * 需求描述: 以HMAC簽章驗證使用者的身份使用者在請求API服務時將APP Key與當下時間(格式使用GMT時間)做HMAC-SHA1加密運算後轉成Base64 格式，帶入signature屬性欄位，Server將驗證使用者請求時的header欄位  ### 常見 API 加密範例 - AES + IV * 需求描述: 將交易資料透過專屬加密 HashKey 與專屬加密 HashIV，產生 AES 256 加密交易資料。  ## 總結 * 驗證 * 四要素:有什麼，是什麼，知道什麼和在哪裡 * 三常見方式: password, 2FA, one-time * 授權(JWT) * 優勢在於輕量、符合RESTful API原則 * 需注意資安問題 * API驗證加密常見模式: hash加密驗證、AES+IV加密 ###### tags: `MW20` `框架與設計` `API授權驗證`