Security: APIs mit Keycloak absichern

Da APIs sensitive Daten übermitteln, sind sie häufig Ziel von Angriffen. Dazu zählt insbesondere die Authentifizierung. Keycloak hilft beim Absichern.

Artikel verschenken

21.07.2022, 06:45 Uhr

Lesezeit: 10 Min.

iX Magazin

Von

Martin Reinhardt

Security: APIs mit Keycloak absichern
- Identitäts- und Zugriffsmanagement regelt Zugang
Spring Boot REST Service mit Keycloak sichern
Vorteilhafter Tokenaustausch
Fazit

Artikel in iX 8/2022 lesen

Webanwendungen sind zahlreichen Bedrohungen ausgesetzt. Es lohnt sich, die neuesten Schwachstellen und Sicherheitslücken im Blick zu haben. Benchmarks solcher Schwachstellen gewährleisten Anwendungssicherheit, bevor ein Angriff erfolgt. Das Open Web Application Security Project (OWASP) ist eine vertrauenswürdige, gemeinnützige Stiftung, die Softwaresicherheitsanalysen veröffentlicht. Sie ist bekannt für ihre jährliche Zusammenstellung der wichtigsten Schwachstellen in Webanwendungen. Im Jahr 2019 hat sie auch eine Liste mit API-Sicherheitslücken veröffentlicht (siehe dazu den Artikel "IT-Security: APIs sicher entwickeln").

Dabei wird deutlich, dass Unternehmen Authentifizierung und Autorisierung im Blick haben sollten und auch beim Betrieb Probleme auftreten können, vor allem beim Rate Limiting, Logging und der Konfiguration: Häufig enthalten APIs nämlich keine Beschränkungen für die Größe und Anzahl der Ressourcen, die Clients/Nutzer anfordern können. Das wirkt sich nicht nur auf die Leistung des API-Servers aus und kann zu Denial of Service (DoS) führen, sondern öffnet auch die Tür für Authentifizierungsfehler wie Brute Force.

Fehlkonfigurationen finden sich aber auch im Sicherheitsbereich: Unsichere Standardkonfigurationen, falsch konfigurierte HTTP-Header, unnötige HTTP-Methoden, fälschlicherweise erlaubtes Cross-origin Resource Sharing (CORS) und ausführliche Fehlermeldungen mit sensiblen Informationen sind dabei nur einige Beispiele. Oft werden Attacken zu spät oder gar nicht erkannt, weil es Lücken in der Überwachung gibt. Durch Microservices und Self-contained Systems sind Softwaresysteme komplexer geworden, weshalb sicherheitsrelevante Themen über den gesamten Prozess hinweg zu lösen sind. Dabei bietet es sich an, die API hinter ein API-Gateway zu platzieren, das Funktionen wie Rate Limiting, IP Blocking und Authentifizierung hinzufügt oder festlegt.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Kaufberatung: So finden Sie die passenden PC-Komponenten für Ihre Anwendungen

PC-Selbstbauer stehen vor einer riesigen Auswahl an CPUs, SSDs und Grafikkarten. Wir geben Tipps, wie Sie die richtigen Teile für Ihre Bedürfnisse auswählen.

Launchpad mit Bordmitteln ersetzen: Wie geht das?

Startklar ohne Launchpad: So geht's ohne Apples Programmstarter in macOS 26

macOS 26 Tahoe streicht den Programmstarter Launchpad und bietet nur noch eine simplere Ansicht in Spotlight. Acht Tipps, wie es trotzdem weitergeht.

Amazon Fire TV Stick 4K Select mit Vega OS im Test

Amazon hat seinen ersten Fire TV Stick mit dem eigenen Betriebssystem Vega OS herausgebracht – und das ist bezüglich der Installation eigener Apps beschränkt.

Darum ist die Hybridheizung fast nie die beste Lösung

Die Hybridheizung steht als eine Standardlösung im Gebäudeenergiegesetz. Mittlerweile hat die Wärmepumpe allerdings auch im Bestand längst überholt.

Was 100 Kilometer mit dem Elektroauto Ende 2025 wirklich kosten

Versicherung, Wartung und mehr: Die Fahrtkosten setzen sich aus vielen Faktoren zusammen. Der Vergleich von zwölf Modellen zeigt, womit Sie rechnen sollten.

Ikea-Hack: Todesstern-Lampe 2.0 mit motorisierter Dynamik und LED-Lichteffekt

Wir bauen aus der Ikea-Leuchte mit manueller Bedienung eine motor-getriebene Version mit Funkfernsteuerung und sorgen mit einer RGB-LED für Lichteffekte.