如何保护您的 API 免受未经授权的请求

聖光之護

发布时间：2025-01-23 14:20:37

815人浏览过

来源于php中文网

原创

如何保护您的 api 免受未经授权的请求

API是现代应用的核心，连接着不同的系统。然而，它们也容易遭受未授权访问和恶意利用。保护API需要多重安全策略，包括CORS验证、强身份验证和实时监控。本文将介绍几种方法，确保只有可信客户端才能访问您的API。

1. 正确配置CORS

跨域资源共享(CORS)是关键的安全机制，它控制哪些来源可以与您的API交互。正确配置CORS能有效防止未授权访问。

ASP.NET Core示例:

builder.Services.AddCors(options =>
{
    options.AddPolicy("RestrictedOrigins", policy =>
    {
        policy.WithOrigins("https://mywebsite.com", "https://trustedpartner.com") // 允许的来源
              .AllowAnyHeader()
              .AllowAnyMethod();
    });
});

// 应用CORS策略
app.UseCors("RestrictedOrigins");

重要规则:

避免AllowAnyOrigin: 允许所有来源会极大增加API风险。
不要使用IsOriginAllowed(_ => true): 这会完全绕过来源验证。
限制方法和头部: 将AllowAnyMethod和AllowAnyHeader限制在必需的范围内。

2. 实施身份验证和授权

身份验证确保只有授权用户或系统才能访问您的API端点。JSON Web Token (JWT)是一种常用的方法。

JWT实施步骤:

客户端在请求头中发送JWT：

Authorization: Bearer

服务器端验证令牌：

app.UseAuthentication();
app.UseAuthorization();

ASP.NET Core配置示例:

builder.Services.AddAuthentication("Bearer")
    .AddJwtBearer(options =>
    {
        options.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuer = true,
            ValidateAudience = true,
            ValidateLifetime = true,
            ValidateIssuerSigningKey = true,
            ValidIssuer = "https://mywebsite.com",
            ValidAudience = "https://mywebsite.com",
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secret-key"))
        };
    });

3. 显式验证Origin头部

即使配置了CORS，您也可以在服务器端中间件中手动验证Origin头部，增加额外安全层。

示例:

app.Use(async (context, next) =>
{
    string origin = context.Request.Headers["Origin"].ToString();
    string[] allowedOrigins = { "https://mywebsite.com", "https://trustedpartner.com" };

    if (!string.IsNullOrEmpty(origin) && !allowedOrigins.Contains(origin))
    {
        context.Response.StatusCode = StatusCodes.Status403Forbidden;
        await context.Response.WriteAsync("Origin not allowed.");
        return;
    }

    await next();
});

4. 阻止可疑IP

过滤并阻止来自已知恶意IP地址的请求，减少攻击面。

中间件示例:

app.Use(async (context, next) =>
{
    string clientIp = context.Connection.RemoteIpAddress?.ToString();
    string[] blockedIPs = { "192.168.1.100", "10.0.0.50" };

    if (blockedIPs.Contains(clientIp))
    {
        context.Response.StatusCode = StatusCodes.Status403Forbidden;
        await context.Response.WriteAsync("Blocked IP.");
        return;
    }

    await next();
});

5. 实施速率限制

限制客户端请求数量，防止滥用和暴力攻击。

Napkin AI

Napkin AI 可以将您的文本转换为图表、流程图、信息图、思维导图视觉效果，以便快速有效地分享您的想法。

下载

ASP.NET Core示例:

安装包:

dotnet add package AspNetCoreRateLimit

配置速率限制:

builder.Services.AddMemoryCache();
builder.Services.Configure(options =>
{
    options.GeneralRules = new List
    {
        new RateLimitRule
        {
            Endpoint = "*",
            Limit = 100, // 请求限制
            Period = "1m" // 每分钟
        }
    };
});

builder.Services.AddInMemoryRateLimiting();
app.UseIpRateLimiting();

6. 所有连接均使用HTTPS

强制使用HTTPS确保客户端和API之间安全通信。

ASP.NET Core中配置HTTPS:

webBuilder.UseKestrel()
          .UseHttps();

将HTTP流量重定向到HTTPS:

app.UseHttpsRedirection();

7. 监控和记录请求

实施日志记录，检测异常模式，例如来自未知来源的大量请求。

示例:

app.Use(async (context, next) =>
{
    string origin = context.Request.Headers["Origin"].ToString();
    Console.WriteLine($"Request from origin: {origin}");
    await next();
});

使用Application Insights、Serilog或Elastic Stack等工具进行全面监控。

8. 避免详细的错误响应

错误消息中不要暴露敏感信息，这会帮助攻击者。

示例:

app.UseExceptionHandler("/error"); // 将错误重定向到安全页面

结论

保护API免受未授权请求需要多层防御：正确配置CORS，显式验证来源和头部，实施身份验证和速率限制，使用HTTPS并监控流量。遵循这些最佳实践，可以显著降低未授权访问的风险，确保只有可信客户端才能访问您的API。

如何用C++实现一个ECS（实体组件系统）？C++游戏引擎架构模式【游戏开发】

C++如何实现一个简单的A*寻路算法_C++游戏AI开发中的路径规划实战

C++如何实现一个简单的行为树_C++游戏AI中决策逻辑的行为树实现

c++ 矩阵乘法代码 c++矩阵运算实现教程

c++怎么使用ONNX Runtime来运行一个AI模型_C++与ONNX Runtime集成运行AI模型实践

相关专题

什么是中间件

中间件是一种软件组件，充当不兼容组件之间的桥梁，提供额外服务，例如集成异构系统、提供常用服务、提高应用程序性能，以及简化应用程序开发。想了解更多中间件的相关内容，可以阅读本专题下面的文章。

175

2024.05.11

Golang 中间件开发与微服务架构

本专题系统讲解 Golang 在微服务架构中的中间件开发，包括日志处理、限流与熔断、认证与授权、服务监控、API 网关设计等常见中间件功能的实现。通过实战项目，帮助开发者理解如何使用 Go 编写高效、可扩展的中间件组件，并在微服务环境中进行灵活部署与管理。

212

2025.12.18

json数据格式

JSON是一种轻量级的数据交换格式。本专题为大家带来json数据格式相关文章，帮助大家解决问题。

403

2023.08.07

json是什么

JSON是一种轻量级的数据交换格式，具有简洁、易读、跨平台和语言的特点，JSON数据是通过键值对的方式进行组织，其中键是字符串，值可以是字符串、数值、布尔值、数组、对象或者null，在Web开发、数据交换和配置文件等方面得到广泛应用。本专题为大家提供json相关的文章、下载、课程内容，供大家免费下载体验。

528

2023.08.23

jquery怎么操作json

操作的方法有：1、“$.parseJSON(jsonString)”2、“$.getJSON(url, data, success)”；3、“$.each(obj, callback)”；4、“$.ajax()”。更多jquery怎么操作json的详细内容，可以访问本专题下面的文章。

307

2023.10.13

go语言处理json数据方法

本专题整合了go语言中处理json数据方法，阅读专题下面的文章了解更多详细内容。

2025.09.10

登录token无效

登录token无效解决方法：1、检查token的有效期限，如果token已经过期，需要重新获取一个新的token；2、检查token的签名，如果签名不正确，需要重新获取一个新的token；3、检查密钥的正确性，如果密钥不正确，需要重新获取一个新的token；4、使用HTTPS协议传输token，建议使用HTTPS协议进行传输；5、使用双因素认证，双因素认证可以提高账户的安全性。

6047

2023.09.14

登录token无效怎么办

登录token无效的解决办法有检查Token是否过期、检查Token是否正确、检查Token是否被篡改、检查Token是否与用户匹配、清除缓存或Cookie、检查网络连接和服务器状态、重新登录或请求新的Token、联系技术支持或开发人员等。本专题为大家提供token相关的文章、下载、课程内容，供大家免费下载体验。

782

2023.09.14