Protección de Seguridad de API

En los servicios de API, X-Timestamp, X-Nonce, X-AccessKey y X-Signature son componentes core comunes de los mecanismos de firma de solicitudes de API, utilizados principalmente para autenticación, verificación de integridad de datos y prevención de ataques de replay.

Análisis de Componentes Core

1. X-Timestamp (Marca de Tiempo)

Funciones

• Registra la hora de inicio de la solicitud (generalmente marca de tiempo Unix) para la validación del servidor de la actualidad de la solicitud.

Problemas Resueltos

• Prevenir Ataques de Replay: El servidor establece un período de validez de marca de tiempo (por ejemplo, 5 minutos), rechazando directamente las solicitudes expiradas. Los atacantes no pueden reproducir solicitudes legítimas interceptadas después de que hayan expirado.
• Verificación de Sincronización: Asegura que la desviación de tiempo entre cliente y servidor esté dentro de un rango razonable, evitando que la manipulación del tiempo afecte la validez de la solicitud.

2. X-Nonce (Número Aleatorio Único)

Funciones

• Genera una cadena aleatoria única (por ejemplo, UUID) para asegurar la unicidad de cada solicitud.

Problemas Resueltos

• Prevenir Solicitudes Duplicadas: El servidor almacena en caché los valores Nonce (o los combina con marcas de tiempo) para rechazar solicitudes duplicadas que ya han sido procesadas.
• Mejorar la Dinamicidad de la Firma: Incluso para solicitudes con los mismos parámetros, el resultado de la firma difiere debido a diferentes Nonces, evitando la reutilización de firmas.

3. X-AccessKey (Clave de Acceso)

Funciones

• Identifica la identidad del cliente (por ejemplo, usuario, aplicación o servicio), generalmente emparejada con una SecretKey asignada previamente por el servidor.

Problemas Resueltos

• Autenticación: Verifica si el solicitante es un cliente legalmente registrado.

4. X-Signature (Firma de Solicitud)

Funciones

• El cliente usa SecretKey para generar una firma para el contenido de la solicitud (parámetros, ruta, marca de tiempo, Nonce, etc.), y el servidor verifica la firma usando el mismo algoritmo.

Problemas Resueltos

• Integridad de Datos: Asegura que la solicitud no sea alterada durante la transmisión (las modificaciones de parámetros harán que la verificación de firma falle).
• Prevenir Falsificación de Identidad: Los atacantes sin la SecretKey no pueden generar firmas correctas y no pueden falsificar solicitudes legítimas.
• Vincular Parámetros Críticos: Los algoritmos de firma típicamente incluyen métodos de solicitud, rutas, parámetros, etc., asegurando la consistencia entre el contenido de la solicitud y la firma.

Ejemplo de Proceso General

Pasos de Generación de Firma del Cliente

1. Concatenar datos de la solicitud
2. Usar SecretKey para generar una firma a través de un algoritmo de encriptación y almacenarla en la cabecera X-Signature.
3. Agregar X-Timestamp, X-Nonce, X-AccessKey y X-Signature a las cabeceras de la solicitud y enviar.

Proceso de Verificación del Servidor

1. Verificar Marca de Tiempo: Comprobar si está dentro del período de validez (por ejemplo, ±5 minutos).
2. Verificar Nonce: Comprobar si ya existe (para prevenir solicitudes duplicadas, se puede almacenar en caché con marcas de tiempo).
3. Verificar Firma: Encontrar la SecretKey correspondiente a través de AccessKey, regenerar la firma usando el mismo algoritmo y compararla con X-Signature.
4. Manejo del Resultado: Si todas las verificaciones pasan, ejecutar la lógica de la solicitud; de lo contrario, devolver errores 401 Unauthorized o 403 Forbidden.

Resumen de Ventajas del Mecanismo

Función	Método de Implementación
Autenticación	AccessKey identifica la identidad del cliente, Signature verifica que el cliente posee una SecretKey válida.
Protección contra Manipulación de Datos	La firma se vincula al contenido de la solicitud (método, ruta, parámetros, etc.), cualquier modificación hará que la verificación de firma falle.
Anti-ataque de Replay	Timestamp asegura la actualidad, Nonce asegura la unicidad de la solicitud, mecanismos duales rechazan solicitudes duplicadas/expiradas.
No Repudio	La firma puede rastrear la fuente de la solicitud, los clientes no pueden negar haber iniciado solicitudes legítimas.