Question 1

هل أستخدم OAuth 2.0 أم JWTs أم مفاتيح API؟

Accepted Answer

تحل مشكلات مختلفة وغالباً تتعايش معاً. OAuth 2.0 (مع OpenID Connect للهوية) هو المعيار لمنح المستخدمين أو الأطراف الثالثة وصولاً محدود النطاق دون مشاركة كلمات المرور. JWT صيغة رمز تُستخدم كثيراً داخل OAuth لجلسات عديمة الحالة ومكتفية ذاتياً. تناسب مفاتيح API نداءات الخدمة إلى الخدمة البسيطة حيث يُقبل سرّ طويل العمر. نربط كلاً منها بالاستخدام الصحيح بدل فرض واحد في كل مكان.

Question 2

هل تخزين JWTs في المتصفح آمن؟

Accepted Answer

يعتمد على المكان. تخزين الرموز في localStorage يعرّضها لـ XSS، لذا في تطبيقات المتصفح نفضّل رموز وصول قصيرة العمر في الذاكرة مع رمز تجديد في كوكي HttpOnly وSecure وSameSite لا يستطيع JavaScript قراءته. إبقاء أعمار رموز الوصول قصيرة — دقائق لا أيام — يحدّ من الضرر إن تسرّب أحدها. النمط الصحيح يعتمد على نموذج تهديد تطبيقكم.

Question 3

ما هو BOLA ولماذا يهم؟

Accepted Answer

خلل التفويض على مستوى الكائن (BOLA/IDOR) هو الخطر الأول في OWASP API Top 10: يطلب مستخدم موثَّق معرّف كائن ليس له، فتعيده الواجهة لأنها تحققت فقط من أنه مسجّل دخول، لا من ملكيته للسجل. كل نقطة نهاية تأخذ معرّفاً يجب أن تتحقق من الملكية على الخادم. نختبر هذا صراحة لأنه شائع وعالي الأثر معاً.

Question 4

كيف أُبطل JWT قبل انتهاء صلاحيته؟

Accepted Answer

الـ JWTs النقية عديمة الحالة ولا يمكن إبطالها مباشرة، وهو ثمن عدم الوصول إلى قاعدة البيانات في كل طلب. الحلول العملية هي أعمار رموز قصيرة مع آلية تجديد، أو قائمة منع على الخادم لمعرّفات الرموز المُبطَلة تُفحص في الإجراءات الحساسة، أو ترقيم نسخ الرمز مرتبط بسجل المستخدم. نختار بحسب سرعة سريان الإبطال التي تحتاجونها.

Question 5

هل أبني المصادقة بنفسي أم أستخدم Auth0/Clerk؟

Accepted Answer

لمعظم الفرق، الموفّر المُدار هو الخيار الأأمن والأسرع — يتولى المصادقة متعددة العوامل وتسجيل الدخول الاجتماعي وإعادة تعيين كلمات المرور والترقيعات الأمنية التي يسهل الخطأ فيها. الاستضافة الذاتية منطقية مع قواعد صارمة لإقامة البيانات أو تدفقات غير اعتيادية أو لتجنّب التسعير لكل مستخدم على نطاق واسع. أطلقنا الاثنين ونوصي بصدق وفق قيودكم.

Question 6

كيف أؤمّن نداءات API بين الآلات؟

Accepted Answer

استخدموا منح OAuth 2.0 client-credentials أو مفاتيح API موقّعة ومحدودة النطاق بدل تضمين بيانات اعتماد المستخدم. تحصل كل خدمة على هوية خاصة ونطاقات بأقل صلاحية، وتعيش الأسرار في خزنة لا في الكود، وتُدوَّر المفاتيح بانتظام. ويضيف TLS المتبادل طبقة أخرى للاتصال الداخلي عالي الثقة.

Question 7

كيف تمنعون تسرّب الرموز وإعادة التشغيل؟

Accepted Answer

ننقل كل شيء عبر TLS، ونُبقي الرموز خارج الروابط والسجلات، ونستخدم أعماراً قصيرة كي ينتهي الرمز الملتقَط بسرعة. للعمليات الحساسة نضيف توقيع الطلبات وأرقاماً عشوائية كي يُرفض الطلب المُعاد. وتُدوَّر رموز التجديد عند كل استخدام، فيُكتشف المسروق لحظة استخدام العميل الشرعي رمزه.

Question 8

هل يغطي هذا متطلبات الامتثال؟

Accepted Answer

المصادقة والتفويض أساس معظم أنظمة الامتثال، لكنهما ليسا الصورة كاملة. يدعم تسجيل التدقيق وضوابط الوصول والتشفير لدينا GDPR وSOC 2 وأطراً مشابهة، ونوثّق الضوابط لمدقّقيكم. ونشير إلى أين ينتهي أمن API وأين يجب أن تتولّى الضوابط التنظيمية الأوسع — السياسات والتدريب وإدارة المورّدين — المهمة.

أمان واجهات API والمصادقة
الأسئلة الشائعة

معلومات
مفيدة

البدء

الجدول الزمني

التسعير

الدعم

لا تزال لديك أسئلة؟

أمان واجهات API والمصادقةالأسئلة الشائعة

معلوماتمفيدة