Hogyan tervezünk biztonságos API-kat?

Question

Accepted Answer

A **biztonságos API-tervezés** az API-k védelme a visszaélésektől és támadásoktól — megfelelő **hitelesítésen/engedélyezésen**, **bemeneti validáción**, **korlátozott lekérdezési sebességen**, **HTTPS-en** és gondos adatkezelésen keresztül. Az API-k közös támadási célpontok, ezért biztosításuk fontos.

## Az API-biztonság alapvető gyakorlatai

```text
✓ AUTHENTICATION → verify who's calling (API keys, OAuth tokens, JWT) — don't leave
  endpoints open
✓ AUTHORIZATION → check the caller is allowed for EACH endpoint/resource (per-request,
  server-side; prevent accessing others' data — broken access control / IDOR)
✓ HTTPS/TLS → always (encrypt API traffic; never plain HTTP)
✓ INPUT VALIDATION → validate/sanitize all inputs (prevent injection, malformed data)
✓ Don't EXPOSE sensitive data → return only needed fields; no secrets/internal data in responses
```

## Védelem a visszaélésekkel szemben

```text
✓ RATE LIMITING / THROTTLING → prevent abuse, brute force, DoS (limit requests per client)
✓ Pagination/size limits → prevent resource exhaustion (huge queries/responses)
✓ Handle ERRORS safely → don't leak stack traces, internal details, or sensitive info
✓ Validate content types; limit payload sizes; guard against mass-assignment
```

## További megfontolások

```text
✓ Least privilege for API keys/tokens; scope them; rotate; short-lived where possible
✓ CORS configured correctly (don't allow all origins blindly)
✓ LOG and MONITOR API usage (detect abuse/attacks); audit access
✓ Versioning; deprecate securely; document security requirements
✓ Follow standards (OAuth, OWASP API Security Top 10)
```

## Miért fontos

Az API-biztonság tervezésének megértése azért fontos, mert az **API-k közös, kitett támadási célpontok**, és megfelelő biztosításuk elengedhetetlen, így értékes gyakorlati biztonsági ismeretet jelent.

Az API-k alkalmazás-funkcionalitást és adatokat teszik közzé a hálózaton, ami gyakori támadási célponttá teszi őket, ezért kritikus a biztonsági gyakorlatok alkalmazása.

Az **alapvető gyakorlatok** megértése — a **hitelesítés** (hívók ellenőrzése, nem nyitott végpontok hagyása), az **engedélyezés** (annak ellenőrzése, hogy a hívó megengedett-e minden végpontnál és erőforrásnál, kiszolgáló oldalon és kérésenként, a szétesett hozzáférés-vezérlés és IDOR — mások adataihoz való hozzáférés megakadályozásához), az **HTTPS** (mindig, a forgalom titkosításához), a **bemeneti validáció** (injekció és rosz formátumú adatok megelőzéséhez), és az **érzékeny adatok nem közzétételéhez** (csak szükséges mezők visszaadásához) — az alapvető API-biztonságot fedezi le.

A **visszaélések elleni védelem** megértése — a **korlátozott lekérdezési sebesség/szabályozás** (brute force, visszaélés és DoS megelőzéséhez kérések korlátozásával, különösen fontos kitett API-knál), lapozás és méretkorlátok (erőforrások kimerülésének megelőzéséhez), valamint a **biztonságos hibakezelés** (stack trace-ok vagy belső részletek nem szivárgásához) — azt címzi meg, hogyan támadják és terhelik túl az API-kat.

Az **további megfontolások** megértése — minimális jogosultságok és hatókör az API-kulcsokhoz/tokenekhez, a helyes **CORS** konfigurációhoz (nem minden forrás vakon engedélyezéshez), naplózás és monitorozás az visszaélések felismeréséhez, valamint szabványok követése (OAuth, OWASP API Security Top 10) — az átfogó API-biztonságot tükrözi.

Az API-k sok biztonsági aggályt kombinálnak (hitelesítés, hozzáférés-vezérlés, bemeneti validáció, visszaélések megelőzése, adatszivárgás), és megfelelő biztosításuk ezen gyakorlatok alkalmazását igényli.

Mivel az API-k közös kitett támadási célpontok és biztosításuk (hitelesítés, engedélyezés, HTTPS, bemeneti validáció, korlátozott lekérdezési sebesség, biztonságos hibakezelés) elengedhetetlen, és mivel a biztonságos API-tervezési gyakorlatok megértése szükséges a biztonságos API-k létrehozásához, az API-biztonság tervezésének megértése értékes, gyakorlatilag releváns biztonsági ismereteket jelent — fontos a közös, kritikus szükséglethez, hogy API-kat biztosítsunk (amelyek funkcionalitást és adatokat tesznek közzé és gyakran támadásnak vannak kitéve), az alapvető biztonsági gyakorlatokat az API kontextusba hozva, elengedhetetlen minden fejlesztő számára, aki API-kat épít.