API
por
API

API

ÍNDICE

  1. Tips seguridad
  2. Dónde se envía la api key
  3. Ver Api Key sólo 1 vez

1. Tips seguridad

  1. Usar HTTPS
  2. Usar OAuth2
  3. Usar WebAuthn
  4. Usar diferentes API dependiendo del nivel de seguridad de la consulta
  5. Implementar Authorization
  6. Rate Limiting
  7. API versioning
  8. AllowListing
  9. Comprobar OWASP API Security Risks
  10. Usar API Gateway
  11. Manejo de errores ( 200 Success 400 Bad Request 500 Internal Server Error )
  12. Input Validation

2. Dónde se envía la api key

Se envía en la cabecera HTTP Headers. Se puede enviar en una cabecera personalizada como X-API-KEY o en la cabecera estándar Authorization.

Ventajas:

  • Seguridad: no se guardan en los logs del servidor ni en el historial del navegador.
  • Universalidad: puedes enviarlos en cualquier tipo de petición ( GET , POST , DELETE )
  • Separación de responsabilidades: los datos de tu usuario van por un lado y sus credenciales de acceso por otro.

3. Ver Api Key sólo 1 vez

La Api Key por seguridad sólo se debe ver la primera vez que se crea. Si se necesita volver a verla es mejor borrar la anterior y crear una nueva. Hay que hashear la Api Key en la base de datos.

Deja un comentario