Assinatura de Solicitação de API: Armadilhas e Boas Práticas
Este artigo examina os desafios de segurança da assinatura de solicitações de API, especialmente as dificuldades de assinar objetos JSON. O autor destaca que, embora a assinatura HMAC simples seja segura, assinar diretamente dentro do objeto JSON pode levar a vários problemas, como várias representações equivalentes de JSON resultando em falhas de validação de assinatura. O artigo compara e analisa vários métodos de assinatura, incluindo a canonização de JSON, a adição de dados de assinatura redundantes e o uso de formatos alternativos. Exemplos de esquemas de assinatura da AWS e do Flickr ilustram os riscos de segurança de implementações com falhas. Por fim, o autor recomenda priorizar o TLS e evitar a assinatura embutida em JSON, optando por assinatura externa para garantir a segurança da solicitação da API.