الأمان والأداء
أمان واجهات برمجة التطبيقات
مقدمة في أمان واجهات برمجة التطبيقات
واجهات برمجة التطبيقات (APIs) هي العمود الفقري لتطبيقات الويب الحديثة، مما يتيح التواصل بين الخدمات المختلفة وتطبيقات الهاتف المحمول والتكاملات مع الجهات الخارجية. ومع ذلك، تمثل واجهات برمجة التطبيقات أيضًا مخاطر أمنية كبيرة إذا لم يتم حمايتها بشكل صحيح. يتضمن أمان API تنفيذ المصادقة والتفويض وتحديد المعدل والتحقق من صحة المدخلات والمراقبة لحماية البيانات الحساسة ومنع الوصول غير المصرح به.
فهم حاسم: كل نقطة نهاية لواجهة برمجة التطبيقات هي ناقل هجوم محتمل. على عكس تطبيقات الويب التقليدية مع ميزات الأمان القائمة على المتصفح، يجب على واجهات برمجة التطبيقات تنفيذ تدابير أمنية شاملة على مستوى التطبيق.
تواجه واجهات برمجة التطبيقات تحديات أمنية فريدة بما في ذلك الهجمات الآلية وحشو الاعتماد وكشط البيانات وهجمات حجب الخدمة الموزعة (DDoS). يمكن لنقطة نهاية واحدة ضعيفة أن تعرض نظامك بالكامل للخطر، مما يجعل أمان API أولوية حاسمة لأي تطبيق حديث.
طرق مصادقة API
تتحقق المصادقة من هوية العملاء الذين يصلون إلى API الخاص بك. توفر طرق المصادقة المختلفة مستويات متفاوتة من الأمان والتعقيد، ويعتمد اختيار الطريقة الصحيحة على متطلبات تطبيقك ونموذج التهديد.
<?php
// الطريقة 1: مصادقة مفتاح API (بسيطة ولكن أقل أمانًا)
function authenticateApiKey() {
$api_key = $_SERVER['HTTP_X_API_KEY'] ?? '';
if (empty($api_key)) {
http_response_code(401);
echo json_encode(['error' => 'مفتاح API مطلوب']);
exit;
}
// التحقق من قاعدة البيانات (استخدم العبارات المعدة)
$pdo = new PDO('mysql:host=localhost;dbname=myapp', 'user', 'pass');
$stmt = $pdo->prepare('SELECT user_id, permissions FROM api_keys WHERE key_hash = ? AND is_active = 1');
$stmt->execute([hash('sha256', $api_key)]);
$result = $stmt->fetch(PDO::FETCH_ASSOC);
if (!$result) {
http_response_code(401);
echo json_encode(['error' => 'مفتاح API غير صالح']);
exit;
}
return $result;
}
// الطريقة 2: مصادقة HTTP الأساسية
function authenticateBasic() {
if (!isset($_SERVER['PHP_AUTH_USER']) || !isset($_SERVER['PHP_AUTH_PW'])) {
header('WWW-Authenticate: Basic realm="API"');
http_response_code(401);
exit;
}
$username = $_SERVER['PHP_AUTH_USER'];
$password = $_SERVER['PHP_AUTH_PW'];
// التحقق من الاعتماد (استخدم password_verify مع كلمات المرور المشفرة)
// لا تقم أبدًا بتخزين كلمات المرور بنص عادي
return verifyUserCredentials($username, $password);
}
// الطريقة 3: مصادقة رمز Bearer
function authenticateBearerToken() {
$auth_header = $_SERVER['HTTP_AUTHORIZATION'] ?? '';
if (!preg_match('/Bearer\s+(\S+)/', $auth_header, $matches)) {
http_response_code(401);
echo json_encode(['error' => 'رمز Bearer مطلوب']);
exit;
}
$token = $matches[1];
return validateAccessToken($token);
}
?>
// الطريقة 1: مصادقة مفتاح API (بسيطة ولكن أقل أمانًا)
function authenticateApiKey() {
$api_key = $_SERVER['HTTP_X_API_KEY'] ?? '';
if (empty($api_key)) {
http_response_code(401);
echo json_encode(['error' => 'مفتاح API مطلوب']);
exit;
}
// التحقق من قاعدة البيانات (استخدم العبارات المعدة)
$pdo = new PDO('mysql:host=localhost;dbname=myapp', 'user', 'pass');
$stmt = $pdo->prepare('SELECT user_id, permissions FROM api_keys WHERE key_hash = ? AND is_active = 1');
$stmt->execute([hash('sha256', $api_key)]);
$result = $stmt->fetch(PDO::FETCH_ASSOC);
if (!$result) {
http_response_code(401);
echo json_encode(['error' => 'مفتاح API غير صالح']);
exit;
}
return $result;
}
// الطريقة 2: مصادقة HTTP الأساسية
function authenticateBasic() {
if (!isset($_SERVER['PHP_AUTH_USER']) || !isset($_SERVER['PHP_AUTH_PW'])) {
header('WWW-Authenticate: Basic realm="API"');
http_response_code(401);
exit;
}
$username = $_SERVER['PHP_AUTH_USER'];
$password = $_SERVER['PHP_AUTH_PW'];
// التحقق من الاعتماد (استخدم password_verify مع كلمات المرور المشفرة)
// لا تقم أبدًا بتخزين كلمات المرور بنص عادي
return verifyUserCredentials($username, $password);
}
// الطريقة 3: مصادقة رمز Bearer
function authenticateBearerToken() {
$auth_header = $_SERVER['HTTP_AUTHORIZATION'] ?? '';
if (!preg_match('/Bearer\s+(\S+)/', $auth_header, $matches)) {
http_response_code(401);
echo json_encode(['error' => 'رمز Bearer مطلوب']);
exit;
}
$token = $matches[1];
return validateAccessToken($token);
}
?>
تحذير أمني: لا ترسل أبدًا مفاتيح API أو الاعتماد عبر اتصالات HTTP غير مشفرة. استخدم دائمًا HTTPS لحماية بيانات المصادقة أثناء النقل.
مفاتيح API بسيطة ولكن يجب معاملتها مثل كلمات المرور - قم بتخزين الإصدارات المشفرة فقط في قاعدة بياناتك، وقم بتدويرها بانتظام، واسمح للمستخدمين بإلغاء المفاتيح المخترقة. المصادقة الأساسية مريحة لواجهات برمجة التطبيقات الداخلية ولكنها تتطلب HTTPS. توفر رموز Bearer (المستخدمة مع OAuth و JWT) أمانًا أفضل للتطبيقات الحديثة.
مفاتيح API وتحديد المعدل
تحدد مفاتيح API العملاء، بينما يمنع تحديد المعدل إساءة الاستخدام عن طريق تقييد عدد الطلبات التي يمكن للعميل إجراؤها في نافذة زمنية. معًا، يشكلان طبقة أساسية من حماية API.
<?php
class RateLimiter {
private $redis;
private $max_requests;
private $window_seconds;
public function __construct($redis, $max_requests = 100, $window_seconds = 3600) {
$this->redis = $redis;
$this->max_requests = $max_requests;
$this->window_seconds = $window_seconds;
}
public function isAllowed($api_key) {
$key = "rate_limit:" . $api_key;
$current = $this->redis->get($key);
if ($current === false) {
// الطلب الأول في النافذة
$this->redis->setex($key, $this->window_seconds, 1);
return true;
}
if ($current >= $this->max_requests) {
return false; // تم تجاوز حد المعدل
}
$this->redis->incr($key);
return true;
}
public function getRemainingRequests($api_key) {
$key = "rate_limit:" . $api_key;
$current = (int)$this->redis->get($key);
return max(0, $this->max_requests - $current);
}
public function getResetTime($api_key) {
$key = "rate_limit:" . $api_key;
return time() + $this->redis->ttl($key);
}
}
// الاستخدام
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);
$limiter = new RateLimiter($redis, 1000, 3600); // 1000 طلب في الساعة
$api_key = authenticateApiKey();
if (!$limiter->isAllowed($api_key)) {
header('X-RateLimit-Limit: 1000');
header('X-RateLimit-Remaining: 0');
header('X-RateLimit-Reset: ' . $limiter->getResetTime($api_key));
http_response_code(429);
echo json_encode(['error' => 'تم تجاوز حد المعدل']);
exit;
}
// إضافة رؤوس حد المعدل إلى الاستجابة
header('X-RateLimit-Limit: 1000');
header('X-RateLimit-Remaining: ' . $limiter->getRemainingRequests($api_key));
?>
class RateLimiter {
private $redis;
private $max_requests;
private $window_seconds;
public function __construct($redis, $max_requests = 100, $window_seconds = 3600) {
$this->redis = $redis;
$this->max_requests = $max_requests;
$this->window_seconds = $window_seconds;
}
public function isAllowed($api_key) {
$key = "rate_limit:" . $api_key;
$current = $this->redis->get($key);
if ($current === false) {
// الطلب الأول في النافذة
$this->redis->setex($key, $this->window_seconds, 1);
return true;
}
if ($current >= $this->max_requests) {
return false; // تم تجاوز حد المعدل
}
$this->redis->incr($key);
return true;
}
public function getRemainingRequests($api_key) {
$key = "rate_limit:" . $api_key;
$current = (int)$this->redis->get($key);
return max(0, $this->max_requests - $current);
}
public function getResetTime($api_key) {
$key = "rate_limit:" . $api_key;
return time() + $this->redis->ttl($key);
}
}
// الاستخدام
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);
$limiter = new RateLimiter($redis, 1000, 3600); // 1000 طلب في الساعة
$api_key = authenticateApiKey();
if (!$limiter->isAllowed($api_key)) {
header('X-RateLimit-Limit: 1000');
header('X-RateLimit-Remaining: 0');
header('X-RateLimit-Reset: ' . $limiter->getResetTime($api_key));
http_response_code(429);
echo json_encode(['error' => 'تم تجاوز حد المعدل']);
exit;
}
// إضافة رؤوس حد المعدل إلى الاستجابة
header('X-RateLimit-Limit: 1000');
header('X-RateLimit-Remaining: ' . $limiter->getRemainingRequests($api_key));
?>
أفضل ممارسة: نفذ حدود معدل مختلفة لنقاط نهاية مختلفة بناءً على كثافة مواردها. يمكن أن يكون لعمليات القراءة حدود أعلى من عمليات الكتابة.
OAuth 2.0 لواجهات برمجة التطبيقات
OAuth 2.0 هو إطار تفويض معياري في الصناعة يتيح الوصول المفوض الآمن. بدلاً من مشاركة كلمات المرور، يمنح المستخدمون وصولاً محدودًا إلى مواردهم من خلال رموز الوصول. OAuth مثالي لعمليات التكامل مع الجهات الخارجية وتطبيقات الهاتف المحمول.
<?php
// تدفق رمز التفويض OAuth 2.0
// الخطوة 1: إعادة توجيه العميل للمستخدم إلى نقطة نهاية التفويض
function generateAuthorizationUrl($client_id, $redirect_uri, $scope) {
$state = bin2hex(random_bytes(16)); // حماية CSRF
$_SESSION['oauth_state'] = $state;
$params = http_build_query([
'response_type' => 'code',
'client_id' => $client_id,
'redirect_uri' => $redirect_uri,
'scope' => $scope,
'state' => $state,
]);
return "https://api.example.com/oauth/authorize?" . $params;
}
// الخطوة 2: معالجة رد الاتصال وتبادل الرمز للرمز
function exchangeCodeForToken($code, $client_id, $client_secret, $redirect_uri) {
// التحقق من معامل الحالة (حماية CSRF)
if ($_GET['state'] !== $_SESSION['oauth_state']) {
die('معامل حالة غير صالح');
}
$data = [
'grant_type' => 'authorization_code',
'code' => $code,
'client_id' => $client_id,
'client_secret' => $client_secret,
'redirect_uri' => $redirect_uri,
];
$ch = curl_init('https://api.example.com/oauth/token');
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($data));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
curl_close($ch);
return json_decode($response, true);
}
// الخطوة 3: تحديث رمز الوصول منتهي الصلاحية
function refreshAccessToken($refresh_token, $client_id, $client_secret) {
$data = [
'grant_type' => 'refresh_token',
'refresh_token' => $refresh_token,
'client_id' => $client_id,
'client_secret' => $client_secret,
];
$ch = curl_init('https://api.example.com/oauth/token');
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($data));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
curl_close($ch);
return json_decode($response, true);
}
?>
// تدفق رمز التفويض OAuth 2.0
// الخطوة 1: إعادة توجيه العميل للمستخدم إلى نقطة نهاية التفويض
function generateAuthorizationUrl($client_id, $redirect_uri, $scope) {
$state = bin2hex(random_bytes(16)); // حماية CSRF
$_SESSION['oauth_state'] = $state;
$params = http_build_query([
'response_type' => 'code',
'client_id' => $client_id,
'redirect_uri' => $redirect_uri,
'scope' => $scope,
'state' => $state,
]);
return "https://api.example.com/oauth/authorize?" . $params;
}
// الخطوة 2: معالجة رد الاتصال وتبادل الرمز للرمز
function exchangeCodeForToken($code, $client_id, $client_secret, $redirect_uri) {
// التحقق من معامل الحالة (حماية CSRF)
if ($_GET['state'] !== $_SESSION['oauth_state']) {
die('معامل حالة غير صالح');
}
$data = [
'grant_type' => 'authorization_code',
'code' => $code,
'client_id' => $client_id,
'client_secret' => $client_secret,
'redirect_uri' => $redirect_uri,
];
$ch = curl_init('https://api.example.com/oauth/token');
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($data));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
curl_close($ch);
return json_decode($response, true);
}
// الخطوة 3: تحديث رمز الوصول منتهي الصلاحية
function refreshAccessToken($refresh_token, $client_id, $client_secret) {
$data = [
'grant_type' => 'refresh_token',
'refresh_token' => $refresh_token,
'client_id' => $client_id,
'client_secret' => $client_secret,
];
$ch = curl_init('https://api.example.com/oauth/token');
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($data));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
curl_close($ch);
return json_decode($response, true);
}
?>
أنواع منح OAuth 2.0: رمز التفويض (لتطبيقات الويب)، اعتماد العميل (من خادم إلى خادم)، الضمني (مهمل)، كلمة مرور مالك المورد (للتطبيقات الموثوقة)، ورمز التحديث (لتجديد الرمز).
أفضل ممارسات أمان JWT
رموز الويب JSON (JWT) هي طريقة شائعة لنقل المعلومات بشكل آمن بين الأطراف. ومع ذلك، يمكن أن يؤدي تنفيذ JWT غير الصحيح إلى ثغرات أمنية خطيرة. فهم أمان JWT أمر بالغ الأهمية لتطوير API الحديث.
<?php
// تنفيذ JWT آمن
use Firebase\JWT\JWT;
use Firebase\JWT\Key;
class JWTHandler {
private $secret_key;
private $algorithm = 'HS256';
private $token_lifetime = 3600; // ساعة واحدة
public function __construct() {
// استخدم مفتاح عشوائي قوي (256 بت على الأقل لـ HS256)
$this->secret_key = $_ENV['JWT_SECRET_KEY'];
if (strlen($this->secret_key) < 32) {
throw new Exception('مفتاح JWT السري قصير جدًا');
}
}
public function generateToken($user_id, $permissions = []) {
$issued_at = time();
$expiration = $issued_at + $this->token_lifetime;
$payload = [
'iss' => 'https://api.example.com', // المُصدر
'aud' => 'https://api.example.com', // الجمهور
'iat' => $issued_at, // صدر في
'exp' => $expiration, // انتهاء الصلاحية
'nbf' => $issued_at, // ليس قبل
'jti' => bin2hex(random_bytes(16)), // معرف JWT (فريد)
'sub' => $user_id, // الموضوع (معرف المستخدم)
'permissions' => $permissions,
];
return JWT::encode($payload, $this->secret_key, $this->algorithm);
}
public function validateToken($token) {
try {
$decoded = JWT::decode($token, new Key($this->secret_key, $this->algorithm));
// التحقق من المُصدر والجمهور
if ($decoded->iss !== 'https://api.example.com' ||
$decoded->aud !== 'https://api.example.com') {
return false;
}
// التحقق من إلغاء الرمز (نفذ قائمة سوداء للرموز)
if ($this->isTokenRevoked($decoded->jti)) {
return false;
}
return $decoded;
} catch (Exception $e) {
// الرمز غير صالح أو منتهي الصلاحية أو مشوه
return false;
}
}
private function isTokenRevoked($jti) {
// التحقق من Redis أو قاعدة البيانات للرموز الملغاة
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);
return $redis->exists("revoked_token:" . $jti);
}
public function revokeToken($jti, $expiration) {
// إضافة الرمز إلى القائمة السوداء حتى انتهاء الصلاحية
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);
$ttl = $expiration - time();
if ($ttl > 0) {
$redis->setex("revoked_token:" . $jti, $ttl, 1);
}
}
}
?>
// تنفيذ JWT آمن
use Firebase\JWT\JWT;
use Firebase\JWT\Key;
class JWTHandler {
private $secret_key;
private $algorithm = 'HS256';
private $token_lifetime = 3600; // ساعة واحدة
public function __construct() {
// استخدم مفتاح عشوائي قوي (256 بت على الأقل لـ HS256)
$this->secret_key = $_ENV['JWT_SECRET_KEY'];
if (strlen($this->secret_key) < 32) {
throw new Exception('مفتاح JWT السري قصير جدًا');
}
}
public function generateToken($user_id, $permissions = []) {
$issued_at = time();
$expiration = $issued_at + $this->token_lifetime;
$payload = [
'iss' => 'https://api.example.com', // المُصدر
'aud' => 'https://api.example.com', // الجمهور
'iat' => $issued_at, // صدر في
'exp' => $expiration, // انتهاء الصلاحية
'nbf' => $issued_at, // ليس قبل
'jti' => bin2hex(random_bytes(16)), // معرف JWT (فريد)
'sub' => $user_id, // الموضوع (معرف المستخدم)
'permissions' => $permissions,
];
return JWT::encode($payload, $this->secret_key, $this->algorithm);
}
public function validateToken($token) {
try {
$decoded = JWT::decode($token, new Key($this->secret_key, $this->algorithm));
// التحقق من المُصدر والجمهور
if ($decoded->iss !== 'https://api.example.com' ||
$decoded->aud !== 'https://api.example.com') {
return false;
}
// التحقق من إلغاء الرمز (نفذ قائمة سوداء للرموز)
if ($this->isTokenRevoked($decoded->jti)) {
return false;
}
return $decoded;
} catch (Exception $e) {
// الرمز غير صالح أو منتهي الصلاحية أو مشوه
return false;
}
}
private function isTokenRevoked($jti) {
// التحقق من Redis أو قاعدة البيانات للرموز الملغاة
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);
return $redis->exists("revoked_token:" . $jti);
}
public function revokeToken($jti, $expiration) {
// إضافة الرمز إلى القائمة السوداء حتى انتهاء الصلاحية
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);
$ttl = $expiration - time();
if ($ttl > 0) {
$redis->setex("revoked_token:" . $jti, $ttl, 1);
}
}
}
?>
مخاطر أمان JWT: لا تقم أبدًا بتخزين بيانات حساسة في حمولة JWT (إنها مشفرة base64، وليست مشفرة). تحقق دائمًا من الخوارزمية لمنع هجمات خوارزمية "none". استخدم مفاتيح سرية قوية ونفذ إلغاء الرموز.
تكوين CORS
يتحكم مشاركة الموارد عبر الأصول (CORS) في النطاقات التي يمكنها الوصول إلى API الخاص بك من المتصفحات. يعد تكوين CORS المناسب ضروريًا لأمان API مع تمكين الطلبات عبر الأصول المشروعة.
<?php
class CORSHandler {
private $allowed_origins = [
'https://example.com',
'https://app.example.com',
];
private $allowed_methods = ['GET', 'POST', 'PUT', 'DELETE', 'OPTIONS'];
private $allowed_headers = ['Content-Type', 'Authorization', 'X-API-Key'];
private $max_age = 86400; // 24 ساعة
public function handleRequest() {
$origin = $_SERVER['HTTP_ORIGIN'] ?? '';
// التحقق من الأصل مقابل القائمة البيضاء
if (!in_array($origin, $this->allowed_origins, true)) {
// للتطوير، قد تسمح بـ localhost
if (!$this->isDevelopmentOrigin($origin)) {
http_response_code(403);
echo json_encode(['error' => 'الأصل غير مسموح']);
exit;
}
}
// تعيين رؤوس CORS
header('Access-Control-Allow-Origin: ' . $origin);
header('Access-Control-Allow-Methods: ' . implode(', ', $this->allowed_methods));
header('Access-Control-Allow-Headers: ' . implode(', ', $this->allowed_headers));
header('Access-Control-Max-Age: ' . $this->max_age);
header('Access-Control-Allow-Credentials: true');
// معالجة طلبات Preflight
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
http_response_code(204);
exit;
}
}
private function isDevelopmentOrigin($origin) {
// السماح بـ localhost في التطوير فقط
if ($_ENV['APP_ENV'] === 'development') {
return preg_match('/^https?:\/\/(localhost|127\.0\.0\.1)(:\d+)?$/', $origin);
}
return false;
}
}
// الاستخدام
$cors = new CORSHandler();
$cors->handleRequest();
?>
class CORSHandler {
private $allowed_origins = [
'https://example.com',
'https://app.example.com',
];
private $allowed_methods = ['GET', 'POST', 'PUT', 'DELETE', 'OPTIONS'];
private $allowed_headers = ['Content-Type', 'Authorization', 'X-API-Key'];
private $max_age = 86400; // 24 ساعة
public function handleRequest() {
$origin = $_SERVER['HTTP_ORIGIN'] ?? '';
// التحقق من الأصل مقابل القائمة البيضاء
if (!in_array($origin, $this->allowed_origins, true)) {
// للتطوير، قد تسمح بـ localhost
if (!$this->isDevelopmentOrigin($origin)) {
http_response_code(403);
echo json_encode(['error' => 'الأصل غير مسموح']);
exit;
}
}
// تعيين رؤوس CORS
header('Access-Control-Allow-Origin: ' . $origin);
header('Access-Control-Allow-Methods: ' . implode(', ', $this->allowed_methods));
header('Access-Control-Allow-Headers: ' . implode(', ', $this->allowed_headers));
header('Access-Control-Max-Age: ' . $this->max_age);
header('Access-Control-Allow-Credentials: true');
// معالجة طلبات Preflight
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
http_response_code(204);
exit;
}
}
private function isDevelopmentOrigin($origin) {
// السماح بـ localhost في التطوير فقط
if ($_ENV['APP_ENV'] === 'development') {
return preg_match('/^https?:\/\/(localhost|127\.0\.0\.1)(:\d+)?$/', $origin);
}
return false;
}
}
// الاستخدام
$cors = new CORSHandler();
$cors->handleRequest();
?>
أمان CORS: لا تستخدم أبدًا Access-Control-Allow-Origin: * لواجهات برمجة التطبيقات التي تتطلب مصادقة. تحقق دائمًا من الأصول مقابل قائمة بيضاء. كن حذرًا مع Access-Control-Allow-Credentials.
أمان إصدارات API
يتيح لك إصدار API الحفاظ على التوافق مع الإصدارات السابقة أثناء تطوير API الخاص بك. ومع ذلك، يمكن أن تصبح إصدارات API القديمة مسؤوليات أمنية إذا لم يتم صيانتها أو إهمالها بشكل صحيح.
<?php
// إصدار قائم على URL مع ضوابط أمنية
class APIRouter {
private $supported_versions = ['v1', 'v2', 'v3'];
private $deprecated_versions = ['v1'];
private $minimum_secure_version = 'v2';
public function route($version, $endpoint) {
// التحقق من الإصدار
if (!in_array($version, $this->supported_versions, true)) {
http_response_code(404);
echo json_encode([
'error' => 'إصدار API غير موجود',
'supported_versions' => $this->supported_versions,
]);
exit;
}
// تحذير حول الإصدارات المهملة
if (in_array($version, $this->deprecated_versions, true)) {
header('Deprecation: true');
header('Sunset: Wed, 31 Dec 2024 23:59:59 GMT');
header('Link: <https://api.example.com/v3>; rel="successor-version"');
}
// فرض الحد الأدنى من الإصدار لنقاط النهاية الحساسة
if ($this->isSensitiveEndpoint($endpoint)) {
if (version_compare($version, $this->minimum_secure_version, '<')) {
http_response_code(426); // مطلوب ترقية
echo json_encode([
'error' => 'تتطلب نقطة النهاية هذه إصدار API ' . $this->minimum_secure_version . ' أو أعلى',
]);
exit;
}
}
// التوجيه إلى معالج خاص بالإصدار
$handler_class = "API\" . strtoupper($version) . "\" . $endpoint;
if (!class_exists($handler_class)) {
http_response_code(404);
echo json_encode(['error' => 'نقطة النهاية غير موجودة']);
exit;
}
$handler = new $handler_class();
return $handler->handle();
}
private function isSensitiveEndpoint($endpoint) {
$sensitive = ['users', 'payments', 'admin'];
return in_array($endpoint, $sensitive, true);
}
}
?>
// إصدار قائم على URL مع ضوابط أمنية
class APIRouter {
private $supported_versions = ['v1', 'v2', 'v3'];
private $deprecated_versions = ['v1'];
private $minimum_secure_version = 'v2';
public function route($version, $endpoint) {
// التحقق من الإصدار
if (!in_array($version, $this->supported_versions, true)) {
http_response_code(404);
echo json_encode([
'error' => 'إصدار API غير موجود',
'supported_versions' => $this->supported_versions,
]);
exit;
}
// تحذير حول الإصدارات المهملة
if (in_array($version, $this->deprecated_versions, true)) {
header('Deprecation: true');
header('Sunset: Wed, 31 Dec 2024 23:59:59 GMT');
header('Link: <https://api.example.com/v3>; rel="successor-version"');
}
// فرض الحد الأدنى من الإصدار لنقاط النهاية الحساسة
if ($this->isSensitiveEndpoint($endpoint)) {
if (version_compare($version, $this->minimum_secure_version, '<')) {
http_response_code(426); // مطلوب ترقية
echo json_encode([
'error' => 'تتطلب نقطة النهاية هذه إصدار API ' . $this->minimum_secure_version . ' أو أعلى',
]);
exit;
}
}
// التوجيه إلى معالج خاص بالإصدار
$handler_class = "API\" . strtoupper($version) . "\" . $endpoint;
if (!class_exists($handler_class)) {
http_response_code(404);
echo json_encode(['error' => 'نقطة النهاية غير موجودة']);
exit;
}
$handler = new $handler_class();
return $handler->handle();
}
private function isSensitiveEndpoint($endpoint) {
$sensitive = ['users', 'payments', 'admin'];
return in_array($endpoint, $sensitive, true);
}
}
?>
إدارة الإصدار: وثق بوضوح جداول الإهمال، وقدم أدلة الهجرة، وأرسل إشعارات لمستهلكي API. فكر في تنفيذ رؤوس الغروب للإبلاغ عن تواريخ نهاية عمر الإصدار.
التحقق من صحة المدخلات لواجهات برمجة التطبيقات
تتطلب واجهات برمجة التطبيقات التحقق الصارم من صحة المدخلات لأنها غالبًا ما تتلقى بيانات من مصادر غير موثوقة وعملاء آليين. على عكس نماذج الويب مع التحقق من المتصفح، يجب أن تتحقق واجهات برمجة التطبيقات من جميع المدخلات على جانب الخادم مع فحص النوع الصارم والتحقق من التنسيق.
<?php
class APIValidator {
public static function validateUserCreate($data) {
$errors = [];
// التحقق من البريد الإلكتروني
if (!isset($data['email']) || !filter_var($data['email'], FILTER_VALIDATE_EMAIL)) {
$errors['email'] = 'عنوان بريد إلكتروني صالح مطلوب';
}
// التحقق من اسم المستخدم
if (!isset($data['username']) || !preg_match('/^[a-zA-Z0-9_]{3,20}$/', $data['username'])) {
$errors['username'] = 'يجب أن يتكون اسم المستخدم من 3-20 حرفًا أبجديًا رقميًا';
}
// التحقق من قوة كلمة المرور
if (!isset($data['password']) || strlen($data['password']) < 8) {
$errors['password'] = 'يجب أن تتكون كلمة المرور من 8 أحرف على الأقل';
}
// التحقق من وجود الحقول المطلوبة
$required = ['first_name', 'last_name'];
foreach ($required as $field) {
if (!isset($data[$field]) || trim($data[$field]) === '') {
$errors[$field] = ucfirst(str_replace('_', ' ', $field)) . ' مطلوب';
}
}
// التحقق من أنواع البيانات
if (isset($data['age']) && (!is_int($data['age']) || $data['age'] < 18 || $data['age'] > 120)) {
$errors['age'] = 'يجب أن يكون العمر عددًا صحيحًا بين 18 و 120';
}
// رفض الحقول غير المعروفة (منع التعيين الجماعي)
$allowed_fields = ['email', 'username', 'password', 'first_name', 'last_name', 'age'];
$unknown_fields = array_diff(array_keys($data), $allowed_fields);
if (!empty($unknown_fields)) {
$errors['_meta'] = 'حقول غير معروفة: ' . implode(', ', $unknown_fields);
}
return $errors;
}
public static function validateJSON() {
$input = file_get_contents('php://input');
$data = json_decode($input, true);
if (json_last_error() !== JSON_ERROR_NONE) {
http_response_code(400);
echo json_encode(['error' => 'JSON غير صالح: ' . json_last_error_msg()]);
exit;
}
return $data;
}
}
// الاستخدام
$data = APIValidator::validateJSON();
$errors = APIValidator::validateUserCreate($data);
if (!empty($errors)) {
http_response_code(422);
echo json_encode(['errors' => $errors]);
exit;
}
?>
class APIValidator {
public static function validateUserCreate($data) {
$errors = [];
// التحقق من البريد الإلكتروني
if (!isset($data['email']) || !filter_var($data['email'], FILTER_VALIDATE_EMAIL)) {
$errors['email'] = 'عنوان بريد إلكتروني صالح مطلوب';
}
// التحقق من اسم المستخدم
if (!isset($data['username']) || !preg_match('/^[a-zA-Z0-9_]{3,20}$/', $data['username'])) {
$errors['username'] = 'يجب أن يتكون اسم المستخدم من 3-20 حرفًا أبجديًا رقميًا';
}
// التحقق من قوة كلمة المرور
if (!isset($data['password']) || strlen($data['password']) < 8) {
$errors['password'] = 'يجب أن تتكون كلمة المرور من 8 أحرف على الأقل';
}
// التحقق من وجود الحقول المطلوبة
$required = ['first_name', 'last_name'];
foreach ($required as $field) {
if (!isset($data[$field]) || trim($data[$field]) === '') {
$errors[$field] = ucfirst(str_replace('_', ' ', $field)) . ' مطلوب';
}
}
// التحقق من أنواع البيانات
if (isset($data['age']) && (!is_int($data['age']) || $data['age'] < 18 || $data['age'] > 120)) {
$errors['age'] = 'يجب أن يكون العمر عددًا صحيحًا بين 18 و 120';
}
// رفض الحقول غير المعروفة (منع التعيين الجماعي)
$allowed_fields = ['email', 'username', 'password', 'first_name', 'last_name', 'age'];
$unknown_fields = array_diff(array_keys($data), $allowed_fields);
if (!empty($unknown_fields)) {
$errors['_meta'] = 'حقول غير معروفة: ' . implode(', ', $unknown_fields);
}
return $errors;
}
public static function validateJSON() {
$input = file_get_contents('php://input');
$data = json_decode($input, true);
if (json_last_error() !== JSON_ERROR_NONE) {
http_response_code(400);
echo json_encode(['error' => 'JSON غير صالح: ' . json_last_error_msg()]);
exit;
}
return $data;
}
}
// الاستخدام
$data = APIValidator::validateJSON();
$errors = APIValidator::validateUserCreate($data);
if (!empty($errors)) {
http_response_code(422);
echo json_encode(['errors' => $errors]);
exit;
}
?>
تمرين: قم بإنشاء واجهة برمجة تطبيقات RESTful آمنة بالميزات التالية: مصادقة JWT، تحديد المعدل (100 طلب في الساعة)، تكوين CORS لأصول محددة، التحقق من صحة المدخلات لجميع نقاط النهاية، واستجابات خطأ مناسبة مع رموز حالة HTTP المناسبة. نفذ 3 نقاط نهاية CRUD على الأقل.
مراقبة وتسجيل أمان API
التسجيل والمراقبة الشاملان ضروريان لاكتشاف حوادث الأمان وتصحيح المشكلات وفهم أنماط استخدام API. سجل محاولات المصادقة وانتهاكات حد المعدل وأخطاء التحقق والأنماط المشبوهة.
<?php
class APILogger {
private $log_file;
public function __construct($log_file = '/var/log/api.log') {
$this->log_file = $log_file;
}
public function logRequest($user_id, $endpoint, $method, $status_code, $duration_ms) {
$log_entry = json_encode([
'timestamp' => date('c'),
'user_id' => $user_id,
'ip' => $_SERVER['REMOTE_ADDR'],
'endpoint' => $endpoint,
'method' => $method,
'status_code' => $status_code,
'duration_ms' => $duration_ms,
'user_agent' => $_SERVER['HTTP_USER_AGENT'] ?? '',
]) . "\n";
file_put_contents($this->log_file, $log_entry, FILE_APPEND | LOCK_EX);
}
public function logSecurityEvent($event_type, $details) {
$log_entry = json_encode([
'timestamp' => date('c'),
'event_type' => $event_type,
'ip' => $_SERVER['REMOTE_ADDR'],
'details' => $details,
]) . "\n";
file_put_contents($this->log_file, $log_entry, FILE_APPEND | LOCK_EX);
// تنبيه للأحداث الحاسمة
if (in_array($event_type, ['brute_force', 'sql_injection', 'privilege_escalation'])) {
$this->sendSecurityAlert($event_type, $details);
}
}
private function sendSecurityAlert($event_type, $details) {
// إرسال إشعار بريد إلكتروني/Slack للأحداث الأمنية الحرجة
// يعتمد التنفيذ على نظام الإشعارات الخاص بك
}
}
?>
class APILogger {
private $log_file;
public function __construct($log_file = '/var/log/api.log') {
$this->log_file = $log_file;
}
public function logRequest($user_id, $endpoint, $method, $status_code, $duration_ms) {
$log_entry = json_encode([
'timestamp' => date('c'),
'user_id' => $user_id,
'ip' => $_SERVER['REMOTE_ADDR'],
'endpoint' => $endpoint,
'method' => $method,
'status_code' => $status_code,
'duration_ms' => $duration_ms,
'user_agent' => $_SERVER['HTTP_USER_AGENT'] ?? '',
]) . "\n";
file_put_contents($this->log_file, $log_entry, FILE_APPEND | LOCK_EX);
}
public function logSecurityEvent($event_type, $details) {
$log_entry = json_encode([
'timestamp' => date('c'),
'event_type' => $event_type,
'ip' => $_SERVER['REMOTE_ADDR'],
'details' => $details,
]) . "\n";
file_put_contents($this->log_file, $log_entry, FILE_APPEND | LOCK_EX);
// تنبيه للأحداث الحاسمة
if (in_array($event_type, ['brute_force', 'sql_injection', 'privilege_escalation'])) {
$this->sendSecurityAlert($event_type, $details);
}
}
private function sendSecurityAlert($event_type, $details) {
// إرسال إشعار بريد إلكتروني/Slack للأحداث الأمنية الحرجة
// يعتمد التنفيذ على نظام الإشعارات الخاص بك
}
}
?>
ما يجب تسجيله: سجل محاولات المصادقة (النجاح والفشل)، فشل التفويض، أخطاء التحقق من صحة المدخلات، انتهاكات حد المعدل، أنماط الوصول غير العادية، وجميع الإجراءات الإدارية. لا تسجل أبدًا بيانات حساسة مثل كلمات المرور أو أرقام بطاقات الائتمان الكاملة.
ملخص أفضل الممارسات
يتطلب أمان API طبقات متعددة من الدفاع تعمل معًا. استخدم دائمًا HTTPS لتشفير البيانات أثناء النقل. نفذ مصادقة قوية باستخدام OAuth 2.0 أو JWT مع إدارة الرموز المناسبة. طبق تحديد المعدل لمنع إساءة الاستخدام وهجمات DDoS.
تحقق من جميع المدخلات بصرامة على جانب الخادم، ورفض الطلبات المشوهة على الفور. قم بتكوين CORS بعناية للسماح فقط بالأصول الموثوقة. استخدم إصدار API للحفاظ على الأمان أثناء تطوير API الخاص بك، وقم بإهمال الإصدارات القديمة بشكل منهجي.
راقب API الخاص بك باستمرار للنشاط المشبوه. سجل أحداث الأمان وأنشئ تنبيهات للهجمات المحتملة. نفذ معالجة الأخطاء المناسبة التي توفر معلومات مفيدة للمستخدمين الشرعيين دون الكشف عن نظام داخلي للمهاجمين.
الدفاع في العمق: لا يوجد إجراء أمني واحد مثالي. ضع طبقات متعددة من ضوابط الأمان - المصادقة والتفويض والتحقق من صحة المدخلات وتحديد المعدل والمراقبة - لإنشاء أمان API قوي.
حافظ على تحديث تبعياتك واتبع النشرات الاستشارية الأمنية للمكتبات التي تستخدمها. قم بإجراء عمليات تدقيق أمني منتظمة واختبارات اختراق. وثق سياسات أمان API الخاصة بك ودرب فريق التطوير الخاص بك على ممارسات الترميز الآمنة. تذكر أن أمان API هو عملية مستمرة، وليست تنفيذًا لمرة واحدة.