Ta bort teknisk information från API-svar
Alla organisationer som publicerar ett API måste se till att användarna kan komma åt det på ett säkert sätt och att skadliga användare inte kan attackera det.
Myndigheter lagrar många personuppgifter. Censusdata omfattar mycket information om individer och deras liv. Dessa data kan utnyttjas för att skada personer. Det är absolut nödvändigt att alla data som exponeras via API-slutpunkter skyddas med moderna standarder.
Som huvudutvecklare tittar du på hur du konfigurerar en säker API-gateway som skyddar censusdata från obehörig åtkomst. Det hjälper också till att skydda slutpunkterna från denial-of-service-attacker.
Azure API Management
Tjänsten Azure API Management hanteras i Azure-molnet och är placerad mellan dina API:er och Internet. En Azure API-gateway är en instans av Azure API Management-tjänsten.
Utgivare av API:er använder Azure Portal eller andra Azure-verktyg för att styra hur varje API exponeras för konsumenter. Till exempel vill du kanske att vissa API:er ska vara fritt tillgängliga för utvecklare i demonstrationssyfte och att andra API:er ska vara strikt kontrollerade.
Svarsrubriker
Svarshuvuden är metadata som är kopplade till HTTP-svar som tillhandahåller den detaljerade kontexten för svaret. De kan tillgängliggöra information om den server och plattformsteknik som används.
I exemplet med Census API är det viktigt att du tar bort följande rubrik:
| Rubrik | Detalj |
|---|---|
| x-powered-by | Det här huvudet gör att anropare kan se den teknikstack som används. Det kan göra det möjligt för en användare med skadligt uppsåt att försöka utnyttja eventuella buggar i den stacken. |
Konfiguration av API Management
Utför följande uppgifter för att konfigurera API Management:
- Skapa en API Management-gateway. I det här steget skapar du API Management-resursen i Azure-portalen. Du tilldelar också egenskaper till gatewayen, till exempel ett fullständigt domännamn (FQDN) och en prisnivå.
- Registrera ett befintligt webb-API med gatewayen. I det här steget lägger du till webb-API:et i gatewayen. API:et har redan en egen Azure App Service-värd, men du måste lägga till den i API Management för att kunna använda principer och andra API Management-verktyg.
- Ta bort en rubrik från svaret. I det här steget tillämpar du en policy som tar bort en osäker rubrik från alla svar.