Es gibt verschiedene API-Authentifizierungsmechanismen: Es gibt verschlüsselte und unverschlüsselte, solche, die einen Benutzernamen und ein Passwort verwenden, solche, die API-Schlüssel verwenden, und solche, die mit Tokens arbeiten.
Jede Authentifizierungsmethode hat ihre Vor- und Nachteile und Merkmale, die sie mehr oder weniger geeignet für eine bestimmte Anwendung machen. All diese Prozesse haben jedoch ein gemeinsames Ziel: sensible Daten zu schützen und sicherzustellen, dass die API nicht missbräuchlich verwendet wird.
Die API-Authentifizierung ist der Prozess, der die Identität der Benutzer überprüft, wenn sie versuchen, eine Verbindung zu einer Anwendung herzustellen. API-Authentifizierungsmechanismen stellen sicher, dass nur erkannte Benutzer auf die Anwendungen zugreifen können, und sind daher das Fundament der Sicherheit von API-Infrastrukturen.
Wenn ein Benutzer einen API-Aufruf macht, sendet ein Softwareprotokoll die Anmeldeinformationen, die für die Anfrage verwendet werden müssen.
Die Funktionsweise dieses Mechanismus kann sehr unterschiedlich sein: Wenn beispielsweise eine API Basic Authentication verwendet wird, gibt der Benutzer bei jedem API-Aufruf Benutzernamen und Passwort in den Header ein, während beim OAuth-Verfahren ein komplexerer, aber auch sichererer Prozess angewendet wird.
Schauen wir uns also die gängigsten API-Authentifizierungsmethoden und deren Funktionsweise an.
Diese Authentifizierungsmethode ist die einfachste, die in einem System implementiert werden kann, da sie keine Anmeldeseiten, IDs oder sonstige Handshakes erfordert.
Bei der HTTP Basic Authentication sendet der Client Anfragen, indem er den Benutzernamen und das Passwort (Base64-kodiert) in den HTTP-Header der Übertragung einfügt. Die Anmeldeinformationen müssen in jedem API-Aufruf enthalten sein.
Sie wird im Allgemeinen in Kontexten, in denen sensible Daten verarbeitet werden, nicht empfohlen, da sie von Natur aus anfällig ist: Die Anmeldeinformationen sind relativ leicht zu entschlüsseln, und jedes Mal, wenn Benutzername und Passwort übermittelt werden, besteht das Risiko, dass sie von böswilligen Benutzern abgefangen werden. Aus diesem Grund wird empfohlen, sie nur über HTTPS (SSL) zu verwenden.
Eine weitere mögliche Methode für die API-Rest-Authentifizierung ist das Bearer-Token-System (übersetzbar als „Inhaber-Token“). Bei dieser Art der HTTP-Authentifizierung erhält der Client ein Token, das den Zugriff auf eine bestimmte Ressource ermöglicht und das er im Authorization-Header angeben muss, wenn er Anfragen an geschützte URLs sendet. Wenn die Anfrage kein gültiges Token enthält, wird sie abgelehnt.
Diese Authentifizierungsmethode ist deutlich sicherer: Durch die Verwendung von Tokens wird zunächst vermieden, dass Anmeldeinformationen in jeder Anfrage übermittelt werden. Darüber hinaus haben Tokens im Gegensatz zu Anmeldeinformationen bei einer HTTP Basic Authentication ein Ablaufdatum.
{ANKER LEV=2}Authentifizierung mittels API-Schlüsseln{ANKER ENDE}
API-Schlüssel sind ein wesentlicher Bestandteil der API-Authentifizierung: Sie sind als mögliche Lösung für die Probleme der HTTP-Basic-Authentifizierung gedacht und stellen eindeutige Werte dar, die jedem Benutzer beim ersten Zugriff zugewiesen werden und die anschließend verwendet werden, um zu bestätigen, dass es sich um denselben Benutzer handelt.
API-Schlüssel können in Kombination mit verschiedenen Authentifizierungsmethoden verwendet werden und funktionieren in der Praxis genau wie ein Passwort. Je nach den Einstellungen kann der Client seinen API-Schlüssel in die Abfragezeichenfolge, den Header oder als Cookie einfügen.
API-Schlüssel können nicht als sichere Authentifizierungsmethode angesehen werden, es sei denn, sie werden zusammen mit HTTPS/SSL-Sicherheitsprotokollen oder in Kombination mit anderen API-Authentifizierungsmethoden verwendet. Andererseits ermöglichen sie eine äußerst effektive Überwachung des Benutzerflusses.
Die JWT-Authentifizierung, die für JSON Web Token steht, ist ein kompaktes und zustandsloses Authentifizierungsverfahren für APIs, das bedeutet, dass keine Benutzerdaten auf dem Server gespeichert werden.
Bei dieser Authentifizierungsmethode erstellt der API-Server, wenn sich der Benutzer bei der Anwendung anmeldet, ein JWT (das digital signiert und verschlüsselt werden kann), das die Identität des Benutzers enthält. Der Benutzer muss das JWT dann in jede Anfrage aufnehmen.
Auch bei dieser Authentifizierungsmethode ist es entscheidend, den Zugriff auf die Token-Schlüssel gut abzusichern: Eine Kompromittierung dieser Schlüssel könnte böswilligen Benutzern den Zugang zum System ermöglichen.
Das Problem der Offenlegung von Anmeldeinformationen wurde mit der OAuth-Authentifizierungsmethode oder Open Authorization gelöst, die einen Autorisierungsfluss nutzt, der den Zugriff auf geschützte Ressourcen ermöglicht, ohne dass der Client seine Zugangsschlüssel offenlegen muss.
Im OAuth-Fluss sendet der Client eine Anfrage an den Server und gibt eine ID zur Identifizierung an. Der Server überprüft die Identität des Benutzers, kontaktiert den Ressourceninhaber zur Bestätigung der Autorisierung und stellt dem Benutzer ein Token (oder einen Autorisierungscode) aus, der zum Zugriff auf die angeforderten Ressourcen verwendet werden kann.
Die API-OAuth-2.0-Authentifizierung, die mehr Flexibilität und Skalierbarkeit als OAuth 1.0 bietet, gilt heute als Standard für die API-Authentifizierung. GitHub- und Google-APIs verwenden unter anderem diese Methode.
Es ist ein äußerst anpassungsfähiges System, da es Tokens in HTTP- oder HTTPS-Header einfügt, auch auf Websites, Apps und Plugins, aber seine Integration kann zusätzlichen Aufwand für Entwickler erfordern.
Laut einem aktuellen Bericht von Imperva nimmt die Zahl der gezielten Cyberangriffe auf APIs stetig zu: 2023 machten sie 27 % aller Angriffe aus, ein Anstieg von 10 % gegenüber dem Vorjahr. Auch die Account-Takeover-Angriffe (ATO) haben zugenommen, von 35 % auf 46 %.
Nicht geschützte APIs stellen eine Angriffsfläche dar, die für böswillige Benutzer äußerst attraktiv sein kann. Aus diesem Grund müssen Sicherheitsmechanismen entwickelt werden, um Ihre Ressourcen und Kunden vor möglichen böswilligen Aktivitäten zu schützen.
Die Authentifizierung ist in diesem Sinne ein entscheidender Aspekt der API-Sicherheit, da sie der Infrastruktur eine grundlegende Sicherheitsebene bietet, um Daten, Funktionen und Dienste der Anwendungen zu schützen und sicherzustellen, dass nur zugelassene Benutzer, Server und Anwendungen API-Aufrufe an Ihre Server senden können.
Greifen Sie auf zuverlässige und hochwertige Daten zu!
Entdecken Sie die über 400 Dienste
des Openapi.com-Marktplatzes
Low CO2
