Mengamankan API, tidak cukup dengan bearer token dan uuid!


Saya akan share bahaya menggunakan primary key pada parameter dalam alamat API. Misalnya kita akan mengakses data

https://backend/data/1,

Ini akan berbahaya karena angka 1 ini dapat diubah-ubah oleh user nantinya, sehingga data lain bisa di akses oleh user. Kita sebaiknya menggunakan uuid yang susah untuk diakses oleh user ataupun sistem brute. Selengkapnya baca di sini:

Kemudian bahanyanya merasa cukup dengan mengunakan bearer token. Iya ini untuk keamaman, tetapi harus digabung dengan lapis keamanan yang lain. Kita ambil analogi pengamanan rumah, jika kita ingin melindungi isi rumah, maka yang kita amankan minimal adalah:

  1. Gerbang
  2. Kunci rumah
  3. Kunci kamar

Berer token ini adalah pengaman gerbang, kunci rumah adalah pengunaan hash data pada parameter dan kunci kamar adalah pembatasan akses penghuni rumah.

Iklan

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.