APIs mit Keycloak absichern
Weil APIs sensitive Daten übermitteln, sind sie häufig Ziel von Angriffen. Dabei steht vor allem die Authentifizierung im Blickpunkt der Angreifer. Keycloak hilft beim Absichern.
Webanwendungen sind zahlreichen Bedrohungen ausgesetzt. Es lohnt sich, die neuesten Schwachstellen und Sicherheitslücken im Blick zu haben. Benchmarks solcher Schwachstellen gewährleisten Anwendungssicherheit, bevor ein Angriff erfolgt. Das Open Web Application Security Project (OWASP) ist eine vertrauenswürdige, gemeinnützige Stiftung, die Softwaresicherheitsanalysen veröffentlicht. Sie ist bekannt für ihre jährliche Zusammenstellung der wichtigsten Schwachstellen in Webanwendungen. Im Jahr 2019 hat sie auch eine Liste mit API-Sicherheitslücken veröffentlicht (siehe dazu Artikel „APIs sicher entwickeln“ in iX 7/2022 und ix.de/z8wh).
APIs ohne Limits sind Sicherheitsrisiko
Dabei wird deutlich, dass Unternehmen Authentifizierung und Autorisierung im Blick haben sollten und auch beim Betrieb Probleme auftreten können, vor allem beim Rate Limiting, Logging und der Konfiguration: Häufig enthalten APIs nämlich keine Beschränkungen für die Größe und Anzahl der Ressourcen, die Clients/Nutzer anfordern können. Das wirkt sich nicht nur auf die Leistung des API-Servers aus und kann zu Denial of Service (DoS) führen, sondern öffnet auch die Tür für Authentifizierungsfehler wie Brute Force.