Kako dizajnirate sigurne API-je?

Question

Accepted Answer

**Sigurno dizajniranje API-ja** uključuje zaštitu API-ja od zlouporabe i napada — kroz odgovarajuću **autentifikaciju/autorizaciju**, **validaciju unosa**, **ograničenje brzine**, **HTTPS** i pažljivo rukovanje podacima. API-ji su česti cilj napada, pa je njihovo osiguranje važno.

## Temeljne prakse sigurnosti API-ja

```text
✓ AUTHENTICATION → verify who's calling (API keys, OAuth tokens, JWT) — don't leave
  endpoints open
✓ AUTHORIZATION → check the caller is allowed for EACH endpoint/resource (per-request,
  server-side; prevent accessing others' data — broken access control / IDOR)
✓ HTTPS/TLS → always (encrypt API traffic; never plain HTTP)
✓ INPUT VALIDATION → validate/sanitize all inputs (prevent injection, malformed data)
✓ Don't EXPOSE sensitive data → return only needed fields; no secrets/internal data in responses
```

## Zaštita od zlouporabe

```text
✓ RATE LIMITING / THROTTLING → prevent abuse, brute force, DoS (limit requests per client)
✓ Pagination/size limits → prevent resource exhaustion (huge queries/responses)
✓ Handle ERRORS safely → don't leak stack traces, internal details, or sensitive info
✓ Validate content types; limit payload sizes; guard against mass-assignment
```

## Dodatna razmatranja

```text
✓ Least privilege for API keys/tokens; scope them; rotate; short-lived where possible
✓ CORS configured correctly (don't allow all origins blindly)
✓ LOG and MONITOR API usage (detect abuse/attacks); audit access
✓ Versioning; deprecate securely; document security requirements
✓ Follow standards (OAuth, OWASP API Security Top 10)
```

## Zašto je to važno

Razumijevanje kako dizajnirati sigurne API-je je važno jer su **API-ji česti, izloženi ciljevi napada**, a njihovo pravilno osiguranje je bitno, pa je to vrijedna praktična sigurnosna znanja.

API-ji izlažu funkcionalnost i podatke aplikacije preko mreže, što ih čini čestim ciljevima napada, pa je primjena sigurnosnih praksi na njih kritična.

Razumijevanje **temeljnih praksi** — **autentifikacija** (provjera identiteta pozivatelja, ne ostavljanje točaka pristupa otvorenim), **autorizacija** (provjera je li pozivatelj ovlašten za svaku točku pristupa i resurs, na strani poslužitelja i po zahtjevu, kako bi se spriječili pokvareni kontroli pristupa i IDOR — pristup tuđim podacima), **HTTPS** (uvijek, šifriranje prometa), **validacija unosa** (sprječavanje ubacivanja i neispravnih podataka) i **ne izlaganje osjetljivih podataka** (vraćanje samo potrebnih polja) — pokriva temeljnu sigurnost API-ja.

Razumijevanje **zaštite od zlouporabe** — **ograničenje brzine/throttling** (sprječavanje grubog nasilja, zlouporabe i DoS napada ograničavanjem zahtjeva, posebno važno za izložene API-je), paginacija i ograničenja veličine (sprječavanje iscrpljivanja resursa) i **sigurno rukovanje greškama** (ne curenja stack tragova ili internih detalja) — rješava kako se API-ji napadaju i opterećuju.

Razumijevanje **dodatnih razmatranja** — najmanja potrebna prava i opseg za API ključeve/tokene, ispravna **CORS** konfiguracija (ne slijepo dozvoljavanja svih podrijetla), registriranje i praćenje za detektiranje zlouporabe i slijeđenje standarda (OAuth, OWASP API Security Top 10) — odražava sveobuhvatnu sigurnost API-ja.

API-ji kombiniraju mnoge sigurnosne zabrinutosti (provjera identiteta, kontrola pristupa, validacija unosa, sprječavanje zlouporabe, izlaganje podataka), a njihovo pravilno osiguranje zahtijeva primjenu tih praksi.

Pošto su API-ji česti izloženi ciljevi napada i njihovo osiguranje (autentifikacija, autorizacija, HTTPS, validacija unosa, ograničenje brzine, sigurno rukovanje greškama) je bitno, te pošto je razumijevanje praksi sigurnog dizajniranja API-ja potrebno za izgradnju sigurnih API-ja, razumijevanje kako dizajnirati sigurne API-je je vrijedna, praktično relevantna sigurnosna znanja — važna za čest, kritičan zadatak osiguranja API-ja (koji izlažu funkcionalnost i podatke i često se napadaju), spajajući temeljne sigurnosne prakse u kontekst API-ja, bitno za svakog programera koji gradi API-je.