Netzwerk-Schnittstellen für mobile Endgeräte

Sichere Entwicklung von API-Anwendungen

Seite: 3/3

Die fiktive Firma ACME Warehouse beschäftigt Mitarbeiter, die zeitweise ausserhalb der Firmengebäude bei Kunden oder zu Hause arbeiten. ACME Warehouse beschliesst Applikationen (Apps) zu entwickeln, welche API-Keys verwenden und diese den Mitarbeitern zur Verfügung zu stellen.

ACME Warehouse beschafft einen API Proxy und positioniert diesen in der DMZ. Es wird zunächst eine App entwickelt, die Zugriff auf Produkt-Dokumentationen erlaubt (DokuApp). Mithilfe des API Proxy kann OAuth für die Authorisierung der Apllikationen genutzt werden. Der verwendete API Key wird genutzt, um Zugriffsrechte zu regeln.

Das Artikelbild zeigt die Struktur der beteiligten Komponenten. Im ersten Schritt verbindet sich DokuApp mit den OAuth-Endpunkten. An diesen Endpunkten werden OAuth-Token erstellt, ausgegeben und validiert.

Ausserdem wird der Benutzer von DokuApp dazu aufgefordert, sich zu authentisieren, bevor er DokuApp authorisiert. Der API Proxy verbindet sich dazu mit dem internen Identity-Management-System, mit dem Clientstore (Datenbank der gültigen API-Keys) und dem Tokenstore (Datenbank aller OAuth-Token).

Sobald DokuApp einen access_token erhalten hat, verbindet sich die Anwendung über den DokuServerProxy Endpunkt mit dem DokuServer. Der API Proxy stellt dabei sicher, dass der access_token gültig und der Zugriff authorisiert ist. ACME Warehouse braucht nun keine Endgeräte mehr zu verwalten, sondern nur noch Applikationen. Der Verwaltungs- und Kontrollaufwand wird um ein Vielfaches reduziert.

Zusammenfassung

Der Schlüssel zur erfolgreichen und sicheren Einführung sowie Verwaltung von APIs ist die Wahl des richtigen API Proxies. Ist die Infrastruktur einmal erstellt und wurde der API Proxy für die eigenen Bedürfnisse konfiguriert, lassen sich APIs anbieten, API-Keys verwalten und benutzerfreundliche Möglichkeiten in Bezug auf Datenzugriff und Freigabenverwaltung realisieren.

Neben der so möglichen Unterstützung des Einsatzes mobiler Endgeräte eignen sich APIs auch für die sichere Einbindung von BYOD-Geräten in ein Firmennetzwerk und tragen damit zur Verbreitung dieses Ansatzes bei. OAuth ist darüber hinaus direkt verwendbar. API-Keys und OAuth kommen heutzutage bereits bei praktisch allen bekannten Plattformen wie Google, Facebook oder auch Twitter zum Einsatz.

Sascha Preibisch arbeitet als Senior Software Developer bei Layer 7 Technologies.

(ID:33247980)