Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Encore+5 3+Rest+API+Security

    Cargado por

    David Villarreal
    11 vistas10 páginas

    Título original

    Encore+5.3+Rest+API+Security

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    11 vistas10 páginas

    Encore+5 3+Rest+API+Security

    Cargado por

    David Villarreal

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 10

    FORMACIÓN IP

    CAPACITACIÓN INTEGRAL EN NETWORKING

    ENCORE 5.0 SECURITY

    CCNP 350-401
    SECURITY
    5.3 REST API
    SECURITY
    CCNP ENCORE 350 - 401

    REST AUTHENTICATION
    ‣ Basic authentication

    ‣ Se envia username y password para cada request.

    ‣ El password se envía codi cado en base64url el cual es


    fácilmente reversible.

    fi
    CCNP ENCORE 350 - 401

    REST AUTHENTICATION
    ‣ API Keys

    ‣ El servidor genera un Key ID y un “secret” por cada key en


    el server.

    ‣ El servidor veri ca que el Key ID y el secret contra el


    private key.

    ‣ Es mucho mas seguro que la autenticación básica.


    fi
    CCNP ENCORE 350 - 401

    REST AUTHENTICATION
    ‣ 0auth

    ‣ Es muy similar a API Keys pero la llave es generada y


    validada por un tercero con able.

    ‣ Existen 2 versions la 1.0a y 2.0.

    ‣ Soporta la experiencia Single Sign In.

    ‣ Diseñado para secure delegated access.


    fi
    CCNP ENCORE 350 - 401

    REST AUTHENTICATION
    ‣ JSON Web Token (JWT)

    ‣ Es un token criptogra camente rmado que transporta


    contenido json.

    ‣ Se compone de 3 partes

    ‣ Header: base64url + encryption engine

    ‣ Payload: base64url

    ‣ Secret: cryptographically signed token

    ‣ Combinado y codi cado usando secret para evitar manipulación


    fi
    fi
    fi
    CCNP ENCORE 350 - 401

    REST AUTHORIZATION
    ‣ Frecuentemente controlado por Access Control List.

    ‣ Lista de permisos asignada a un usuario especi co o un


    grupo.

    ‣ Multiples permisos se asignara para especi car permisos


    especí cos.

    ‣ Requiere una fuente de con anza de un tercero


    (database).

    ‣ Valida autorización a usuarios conocidos. (Trusted).


    fi
    fi
    fi
    fi
    CCNP ENCORE 350 - 401

    CLIENTS REQUESTS
    ‣ No utilizar datos sensibles como parte del URL.

    ‣ Evitar sesiones desde el servidor para evitar ataques de


    tipo Cross-site Request Forgery (CSRF).

    ‣ Validación del client request.

    ‣ Nunca se debe con ar de forma implícita.

    ‣ Veri car todos los inputs antes de realizar cualquier


    operación. Length/range/type/content.

    ‣ Rechaza contenido inesperado y/o ilegal.


    fi
    fi
    CCNP ENCORE 350 - 401

    CLIENTS REQUESTS
    ‣ Usa validation libraries o frameworks.

    ‣ De ne el tamaño apropiado de un request via HTTP y


    rechaza cualquier respuesta demasiada larga. (Status 413).
    fi
    CCNP ENCORE 350 - 401

    SECURE REST RESPONSE


    ‣ Con gura explícitamente el tipo de contenido de los
    headers.

    ‣ Status code 401 (unauthorized).

    ‣ Cliente no incluye credenciales validas con el request

    ‣ Status code 403 (Forbidden).

    ‣ Un cliente autenticado trata de hacer algo que no tiene


    permitido.
    fi

    También podría gustarte