Korrekte Verwendung der Restful Services / Rest-API
SEWOBE | Vereinssoftware | FAQ
Bei der Nutzung der Schnittstelle sollten folgende Sicherheitsrelevante Punkt beachtet werden:
Legen Sie bitte einen eigenen Systembenutzer an (ggf. auch mehrere Benutzer), der die API-Aufrufe durchführen darf. Der Benutzer darf kein physischer Systembenutzer sein. Aktivieren Sie für diesen Benutzer die „IP-Einschränkung“, sofern die API-Aufrufe von statischen IP-Adresse(n) ausgeführt werden.
Ordnen Sie diesem Benutzer nur die notwendigen Rechte mit Hilfe einer Rechtegruppe zu.
Die Aufrufe der API sollten zudem immer in folgender Abfolge ausgeführt werden:
Mit dieser Herangehensweise sind folgende Sicherheitsinstrumente gegeben:
Legen Sie bitte einen eigenen Systembenutzer an (ggf. auch mehrere Benutzer), der die API-Aufrufe durchführen darf. Der Benutzer darf kein physischer Systembenutzer sein. Aktivieren Sie für diesen Benutzer die „IP-Einschränkung“, sofern die API-Aufrufe von statischen IP-Adresse(n) ausgeführt werden.
Ordnen Sie diesem Benutzer nur die notwendigen Rechte mit Hilfe einer Rechtegruppe zu.
Die Aufrufe der API sollten zudem immer in folgender Abfolge ausgeführt werden:
- Login des API-Benutzers mit der Funktion REST_LOGIN
- Auslösen der gewünschten Abfrage(n)
- Logout des API-Benutzers mit der Funktion REST_LOGOUT
Mit dieser Herangehensweise sind folgende Sicherheitsinstrumente gegeben:
- Der Aufruf der API kann für den API-Benutzer nur von den definierten IP-Adressen aus gestartet werden. Somit werden Versuche des Aufrufs von außerhalb direkt unterbunden
- Beim Aufruf der API ist durch die eingeschränkten Berechtigungen des Benutzers sichergestellt, dass auch nur die zwingend benötigten Zugriffe möglich sind.
- Falls der API-Benutzer fälschlicherweise auch als physischer Benutzer agieren sollte: Ist der physische Benutzer am MANAGER angemeldet ist, während zeitgleich ein API-Aufruf stattfindet, wird die Session des physischen Benutzers ungültig und dieser muss sich neu am MANAGER anmelden. Dies wird durch die Trennung der Benutzer ebenfalls unterbunden.
- Historieneinträge durch API-Aufrufe werden mit dem betreffenden API-Benutzer vermerkt und nicht mit dem physischen Benutzer, der eigentlich mit den Abfragen nichts zu tun hat. Damit ist klar gekennzeichnet wie und von wem Daten abgerufen oder verändert wurden.
- Durch den Logout nach der Abfrage ist sichergestellt, dass die verwendete Session keinen Zugriff mehr auf das System hat. Falls eine Session bei der Abfrage abgegriffen wurde, kann somit kein unberechtigter Zugriff mehr stattfinden.
Benötigen Sie weitere Hilfe?
Zum Serviceportal