Firma de solicitudes de API: inconvenientes y mejores prácticas
Este artículo profundiza en los desafíos de seguridad de la firma de solicitudes de API, especialmente las dificultades de firmar objetos JSON. El autor señala que, si bien la firma HMAC simple es segura, firmar directamente dentro del objeto JSON puede provocar varios problemas, como múltiples representaciones equivalentes de JSON que provocan fallos en la validación de la firma. El artículo compara y analiza varios métodos de firma, incluida la canonización de JSON, la adición de datos de firma redundantes y el uso de formatos alternativos. Los ejemplos de los esquemas de firma de AWS y Flickr ilustran los riesgos de seguridad de las implementaciones defectuosas. En última instancia, el autor recomienda priorizar TLS y evitar la firma en línea de JSON, optando por una firma externa para garantizar la seguridad de la solicitud de la API.