API-Request-Signatur: Fallstricke und Best Practices
Dieser Artikel befasst sich mit den Sicherheitsherausforderungen bei der Signatur von API-Requests, insbesondere den Schwierigkeiten beim Signieren von JSON-Objekten. Der Autor weist darauf hin, dass einfache HMAC-Signaturen zwar sicher sind, das direkte Signieren innerhalb des JSON-Objekts jedoch zu verschiedenen Problemen führen kann, z. B. mehrere äquivalente Darstellungen von JSON, die zu Signaturen-Validierungsfehlern führen. Der Artikel vergleicht und analysiert verschiedene Signaturmethoden, darunter die Kanonisierung von JSON, das Hinzufügen redundanter Signaturdaten und die Verwendung alternativer Formate. Beispiele für AWS- und Flickr-Signaturschemata veranschaulichen die Sicherheitsrisiken fehlerhafter Implementierungen. Letztendlich empfiehlt der Autor, TLS zu priorisieren und das Inline-Signieren von JSON zu vermeiden und stattdessen eine externe Signatur zu verwenden, um die Sicherheit von API-Requests zu gewährleisten.