Как проверить, вызывает ли мое приложение API с минимальными разрешениями

  • Статья

При создании приложения, скорее всего, интегрируется с несколькими API и операциями. Чтобы убедиться, что ваше приложение безопасно и соответствует принципу наименьших привилегий, необходимо проверить, вызывает ли ваше приложение API с минимальными разрешениями. Используя минимальные разрешения, вы снижаете риск несанкционированного доступа к данным и ресурсам.

Что трудно проверить, вызывает ли приложение API с минимальными разрешениями, что при каждой интеграции новой операции необходимо оценить набор разрешений, используемых в приложении. Отслеживание всех операций и разрешений вручную занимает много времени и подвержено ошибкам. С помощью прокси-сервера разработки и Центра API Azure можно автоматизировать проверку того, вызывает ли приложение API с минимальными разрешениями.

Чтобы проверить, вызывает ли приложение API с минимальными разрешениями, можно использовать подключаемый ApiCenterMinimalPermissionsPlugin модуль. Этот подключаемый модуль сравнивает разрешения, которые приложение использует с разрешениями, определенными в Центре API Azure, и сообщает о любых чрезмерных разрешениях. Он также рекомендует минимальный набор разрешений, которые следует использовать.

Снимок экрана: командная строка с проверкой прокси-сервера разработки, если записанные запросы API используют минимальные разрешения API маркеров.

Перед началом работы

Чтобы проверить, вызывает ли ваше приложение API с минимальными разрешениями, необходимо иметь экземпляр Центра API Azure со сведениями об API, используемых в вашей организации.

Совет

Скачайте предустановку для этой статьи, выполнив команду в командной строке devproxy preset get demo-apicenter-minimalpermissions.

Создание экземпляра Центра API Azure

Прежде чем начать, создайте экземпляр Центра API Azure и зарегистрируйте API, которые вы используете в организации. Для каждого API отправьте файл спецификации OpenAPI, описывающий операции и разрешения API.

Снимок экрана: Центр API Azure с API и его спецификацией OpenAPI с информацией о безопасности.

Эти ApiCenterMinimalPermissionsPlugin сведения используются для проверки того, вызывает ли приложение API с минимальными разрешениями.

Копирование сведений центра API

На странице обзора экземпляра Центра API Azure скопируйте имя экземпляра Центра API, имя группы ресурсов и идентификатор подписки. Эти сведения необходимо настроить ApiCenterMinimalPermissionsPlugin таким образом, чтобы он смог подключиться к экземпляру Центра API Azure.

Снимок экрана: страница обзора Центра API Azure с выделенными свойствами.

Настройка прокси-сервера разработки

Чтобы проверить, вызывает ли приложение API с минимальными разрешениями, необходимо включить ApiCenterMinimalPermissionsPlugin его в файле конфигурации прокси-сервера разработки. Чтобы создать отчет о разрешениях, которые использует приложение, добавьте репортера.

Включение ApiCenterMinimalPermissionsPlugin

devproxyrc.json В файле добавьте следующую конфигурацию:

{
  "$schema": "https://raw.githubusercontent.com/microsoft/dev-proxy/main/schemas/v0.19.0/rc.schema.json",
  "plugins": [
    {
      "name": "ApiCenterMinimalPermissionsPlugin",
      "enabled": true,
      "pluginPath": "~appFolder/plugins/dev-proxy-plugins.dll",
      "configSection": "apiCenterMinimalPermissionsPlugin"
    }
  ],
  "urlsToWatch": [
    "https://api.northwind.com/*"
  ],
  "apiCenterMinimalPermissionsPlugin": {
    "subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "resourceGroupName": "demo",
    "serviceName": "contoso-api-center",
    "workspaceName": "default"
  }
}

В разделе <a0subscriptionId/> и serviceName свойства укажите сведения о экземпляре Центра API Azure.

В свойстве urlsToWatch укажите URL-адреса, которые использует приложение.

Совет

Используйте расширение Visual Studio Code набора средств разработки для управления конфигурацией прокси-сервера разработки.

Добавление репортера

Создает ApiCenterMinimalPermissionsPlugin отчет api, которые использует ваше приложение, и минимальные разрешения, необходимые для их вызова. Чтобы просмотреть этот отчет, добавьте репортера в файл конфигурации прокси-сервера разработки. Dev Proxy предлагает несколько репортеров. В этом примере используется репортер обычного текста.

Обновите devproxyrc.json файл со ссылкой на репортер обычного текста:

{
  "$schema": "https://raw.githubusercontent.com/microsoft/dev-proxy/main/schemas/v0.19.0/rc.schema.json",
  "plugins": [
    {
      "name": "ApiCenterMinimalPermissionsPlugin",
      "enabled": true,
      "pluginPath": "~appFolder/plugins/dev-proxy-plugins.dll",
      "configSection": "apiCenterMinimalPermissionsPlugin"
    },
    {
      "name": "PlainTextReporter",
      "enabled": true,
      "pluginPath": "~appFolder/plugins/dev-proxy-plugins.dll"
    }
  ],
  "urlsToWatch": [
    "https://api.northwind.com/*"
  ],
  "apiCenterMinimalPermissionsPlugin": {
    "subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "resourceGroupName": "demo",
    "serviceName": "contoso-api-center",
    "workspaceName": "default"
  }
}

Проверьте, вызывает ли приложение API с минимальными разрешениями

Чтобы проверить, вызывает ли приложение API с минимальными разрешениями, необходимо подключиться к подписке Azure, запустить прокси-сервер разработки и позволить ему перехватывать запросы API из приложения. Затем прокси-сервер разработки сравнивает сведения о запросах API с информацией из Центра API Azure и сообщает о минимальных разрешениях.

Подключение к подписке Azure

В прокси-сервере разработки используются сведения из Центра API Azure, чтобы определить, вызывает ли приложение API с минимальными разрешениями. Чтобы получить эти сведения, он должен подключиться к вашей подписке Azure. Вы можете подключиться к подписке Azure несколькими способами.

Запуск прокси-сервера разработки

После подключения к подписке Azure запустите прокси-сервер разработки. Если запустить прокси-сервер разработки из той же папки, где devproxyrc.json находится файл, он автоматически загружает конфигурацию. В противном случае укажите путь к файлу конфигурации с помощью --config-file параметра.

При запуске прокси-сервера разработки он проверяет, может ли он подключиться к подписке Azure. Когда подключение выполнено успешно, вы увидите следующее сообщение:

 info    Plugin ApiCenterMinimalPermissionsPlugin connecting to Azure...
 info    Listening on 127.0.0.1:8000...

Hotkeys: issue (w)eb request, (r)ecord, (s)top recording, (c)lear screen
Press CTRL+C to stop Dev Proxy

Нажмите клавишу R , чтобы начать запись запросов API из приложения.

Использование приложения

Используйте приложение, как обычно. В этом руководстве можно использовать следующий запрос с имитируемым маркером доступа с customer.readwrite разрешением:

@readwriteToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyLCJzY3AiOlsiY3VzdG9tZXIucmVhZHdyaXRlIl19.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

GET https://api.northwind.com/customers/ALFKI
Authorization: Bearer {{readwriteToken}}

Прокси-сервер разработки перехватывает запросы API и сохраняет сведения о них в памяти. В командной строке, в которой выполняется прокси-сервер разработки, вы увидите сведения о запросах API, выполняемых приложением.

 info    Plugin ApiCenterMinimalPermissionsPlugin connecting to Azure...
 info    Listening on 127.0.0.1:8000...

Hotkeys: issue (w)eb request, (r)ecord, (s)top recording, (c)lear screen
Press CTRL+C to stop Dev Proxy

◉ Recording... 

 req   ╭ GET https://api.northwind.com/customers/ALFKI
 mock  ╰ 200 /{customer-id}

Проверка разрешений

Остановите запись, нажав клавишу S. Прокси-сервер разработки подключается к экземпляру Центра API и сравнивает сведения о запросах с информацией из Центра API.

 info    Plugin ApiCenterMinimalPermissionsPlugin connecting to Azure...
 info    Listening on 127.0.0.1:8000...

Hotkeys: issue (w)eb request, (r)ecord, (s)top recording, (c)lear screen
Press CTRL+C to stop Dev Proxy

◉ Recording... 

 req   ╭ GET https://api.northwind.com/customers/ALFKI
 mock  ╰ 200 /{customer-id}
○ Stopped recording
 info    Checking if recorded API requests use minimal permissions as defined in API Center...
 info    Loading APIs from API Center...
 info    Loading API definitions from API Center...
 info    Checking minimal permissions for API https://api.northwind.com...
 info    Analyzing recorded requests...
 warn    Calling API Northwind with excessive permissions: customer.readwrite. Minimal permissions are: customer.read
 info    DONE

Когда прокси-сервер разработки завершит анализ, он создает отчет в файле с именем ApiCenterMinimalPermissionsPlugin_PlainTextReporter.txt со следующим содержимым:

Azure API Center minimal permissions report

APIS

Northwind

x Called using excessive permissions

Permissions

- Minimal permissions: customer.read
- Permissions on the token: customer.readwrite
- Excessive permissions: customer.readwrite

Requests

- GET https://api.northwind.com/customers/ALFKI

UNMATCHED REQUESTS

No unmatched requests found.

ERRORS

No errors occurred.

Итоги

ApiCenterMinimalPermissionsPluginС помощью этой функции можно проверить, вызывает ли приложение API с минимальными разрешениями. Подключаемый модуль сравнивает сведения о запросах API из приложения с информацией из Центра API Azure и сообщает о чрезмерных разрешениях. Он также рекомендует минимальные разрешения, необходимые для вызова API- интерфейсов, которые вы используете в приложении. Убедитесь, что приложение вызывает API с минимальными разрешениями, помогает повысить безопасность приложения. Эту проверку можно запустить вручную или интегрировать с конвейером CI/CD, чтобы убедиться, что приложение вызывает API с минимальными разрешениями перед выпуском в рабочую среду.

Дополнительные сведения