Question 1

مجھے OAuth 2.0، JWT یا API key استعمال کرنا چاہیے؟

Accepted Answer

یہ مختلف مسائل حل کرتے ہیں اور اکثر ساتھ موجود رہتے ہیں۔ OAuth 2.0 (شناخت کے لیے OpenID Connect کے ساتھ) صارفین یا تھرڈ پارٹیز کو پاس ورڈ شیئر کیے بغیر scoped رسائی دینے کا معیار ہے۔ JWT ایک token فارمیٹ ہے جو OAuth کے اندر stateless، خود کفیل sessions کے لیے اکثر استعمال ہوتا ہے۔ API keys سادہ services کے درمیان کالز کے لیے موزوں ہیں جہاں طویل عمر کا secret قابلِ قبول ہو۔ ہم ہر ایک کو درست استعمال سے جوڑتے ہیں نہ کہ ایک کو ہر جگہ مسلط کرتے ہیں۔

Question 2

کیا JWTs کو براؤزر میں رکھنا محفوظ ہے؟

Accepted Answer

اس پر منحصر ہے کہ کہاں۔ tokens کو localStorage میں رکھنا انہیں XSS کے سامنے لاتا ہے؛ اس لیے براؤزر ایپس کے لیے ہم مختصر عمر کے access tokens میموری میں اور JavaScript کے ناقابلِ مطالعہ HttpOnly، Secure، SameSite cookie میں refresh token کو ترجیح دیتے ہیں۔ access-token کی عمر مختصر رکھنا — دن نہیں منٹ — لیک ہونے پر نقصان محدود کرتا ہے۔ درست طریقہ آپ کی ایپ کے threat model پر منحصر ہے۔

Question 3

BOLA کیا ہے اور یہ کیوں اہم ہے؟

Accepted Answer

ٹوٹا Object-Level Authorization (BOLA/IDOR) OWASP API Top 10 کا نمبر ایک خطرہ ہے: ایک تصدیق شدہ صارف ایسی object ID مانگتا ہے جو اس کی نہیں، اور API اسے واپس کر دیتی ہے کیونکہ اس نے صرف یہ جانچا کہ صارف لاگ اِن ہے، نہ کہ وہ ریکارڈ کا مالک ہے۔ ID لینے والے ہر endpoint کو ملکیت server کی جانب تصدیق کرنی چاہیے۔ ہم اسے واضح طور پر ٹیسٹ کرتے ہیں کیونکہ یہ عام بھی ہے اور زیادہ اثر والا بھی۔

Question 4

میں JWT کو میعاد ختم ہونے سے پہلے کیسے منسوخ کروں؟

Accepted Answer

خالص JWTs stateless ہیں اور براہِ راست منسوخ نہیں ہو سکتے؛ یہ ہر request پر ڈیٹابیس نہ چھونے کی قیمت ہے۔ عملی حل ہیں مختصر token عمر مع refresh میکانزم، حساس اعمال پر جانچے جانے والے منسوخ token IDs کی server-side denylist، یا صارف ریکارڈ سے جڑی token versioning۔ ہم اس بنیاد پر منتخب کرتے ہیں کہ منسوخی کتنی تیزی سے لاگو ہونی چاہیے۔

Question 5

میں auth خود بناؤں یا Auth0/Clerk استعمال کروں؟

Accepted Answer

زیادہ تر ٹیموں کے لیے managed provider زیادہ محفوظ، تیز انتخاب ہے — یہ MFA، سوشل لاگ اِن، پاس ورڈ ری سیٹ اور وہ سیکیورٹی پیچز سنبھالتا ہے جو غلط کرنا آسان ہے۔ خود میزبانی اس وقت معقول ہے جب آپ کے پاس سخت data-residency قواعد، غیر معمولی flows ہوں، یا بڑے اسکیل پر فی صارف قیمت سے بچنا چاہتے ہوں۔ ہم نے دونوں بنائے ہیں اور آپ کی پابندیوں کے مطابق دیانتداری سے تجویز کرتے ہیں۔

Question 6

مشینوں کے درمیان API کالز کیسے محفوظ کروں؟

Accepted Answer

صارف credentials سرایت کرنے کے بجائے OAuth 2.0 client-credentials grant یا دستخط شدہ، scoped API keys استعمال کریں۔ ہر service اپنی شناخت اور کم ترین استحقاق scopes پاتی ہے، secrets کوڈ میں نہیں vault میں رہتے ہیں، اور keys باقاعدگی سے rotate ہوتی ہیں۔ Mutual TLS اعلیٰ اعتماد والے اندرونی رابطے کے لیے ایک اور پرت شامل کرتا ہے۔

Question 7

آپ token لیک اور replay کیسے روکتے ہیں؟

Accepted Answer

ہم سب کچھ TLS پر منتقل کرتے ہیں، tokens کو URLs اور logs سے دور رکھتے ہیں اور مختصر عمر استعمال کرتے ہیں تاکہ پکڑا گیا token جلد ختم ہو جائے۔ حساس اعمال کے لیے ہم request دستخط اور nonces شامل کرتے ہیں تاکہ دہرایا گیا request مسترد ہو۔ Refresh tokens ہر استعمال پر rotate ہوتے ہیں، یوں چوری شدہ token اسی لمحے پکڑا جاتا ہے جب جائز client اپنا استعمال کرتا ہے۔

Question 8

کیا یہ تعمیل کی ضروریات کا احاطہ کرتا ہے؟

Accepted Answer

تصدیق اور اجازت زیادہ تر تعمیل نظاموں کی بنیاد ہیں مگر پوری تصویر نہیں۔ ہماری آڈٹ لاگنگ، رسائی کنٹرول اور خفیہ کاری GDPR، SOC 2 اور ایسے فریم ورکس کی حمایت کرتی ہے، اور ہم آپ کے آڈیٹرز کے لیے کنٹرولز دستاویز کرتے ہیں۔ ہم نشان زد کرتے ہیں کہ API سیکیورٹی کہاں ختم ہوتی ہے اور وسیع تر تنظیمی کنٹرولز — پالیسیاں، تربیت، vendor management — کہاں سنبھالنے چاہئیں۔

API سیکیورٹی اور تصدیق
عمومی سوالات

مددگار
معلومات

شروع کرنا

ٹائم لائن

قیمتیں

سپورٹ

ابھی بھی سوالات ہیں؟

API سیکیورٹی اور تصدیقعمومی سوالات

مددگارمعلومات