Home

Автор: Рене Муландари

В современном мире программных разработок важность API-интерфейсов является очевидной практически для любого специалиста. Данные интерфейсы дают возможность любым двум отдельным приложениям легко обмениваться данными друг с другом, а также упрощают пользователям приложения выполнение привычных действий без использования графического интерфейса приложения.

С точки зрения разработчиков API - это простой способ реализации ряда возможностей приложения, а также хорошая способ тестирования его функционала.

Вопрос безопасности использования REST API

Ежедневное использование API может стать обременительным, так как у разработчика могут быть десятки или даже сотни подобных интерфейсов, которые ему нужно регулярно использовать при тестировании ПО. Особенно это актуально для REST API, представляющего собой механизм программных запросов со стороны клиентской части приложения к серверу. Данный тип взаимодействия дает доступ веб-клиентам и серверам к огромному разнообразию всевозможных веб-ресурсов, при этом существует необходимость постоянного тестирования корректности работы REST API.

В информацию, получаемую API-интерфейсами часто входят учетные данные, различные ключи API, токены и прочие персональные данные, утечка которых представляет серьезную угрозу, особенно в том случае, если эта информация попадет в руки конкурентов или злоумышленников.

Что такое Postman?

Программное решение Postman – это популярный клиент для работы с API, который упрощает разработчикам создание, совместное использование, тестирование и документирование процесса разработки. Это достигается путем предоставления пользователям доступа к созданию и сохранению простых и сложных запросов HTTP, а также возможности прочтения и анализа откликов на данные запросы. Основная цель использования Postman разработчиками – это достижение более оптимального и удобного процесса работы с API-интерфейсами.

Postman и прокси-серверы

Чтобы избежать утечки конфиденциальной информации при работе в Postman часто используются дополнительные средства безопасности, такие как прокси сервер и VPN.

Опытный разработчик, зная, что такое VPN и прокси, и какую роль они играют в обеспечении безопасности разработки программного обеспечения, достаточно легко нейтрализует любой вид онлайн угрозы.

В Postman Вы можете либо включить встроенный системный прокси, либо подключить свой собственный прокси.

Если вы работаете в специфической профессиональной среде (в сфере образования или в крупной корпорации), то вполне вероятно, что все Ваши API-запросы должны проходить через прокси, исходя из политики безопасности учреждения или компании. В этом случае Вам следует добавить прокси в операционную систему и включить системный прокси в Postman.

Настройки прокси доступны в разделе «Настройки» (значок гаечного ключа в правом верхнем углу) в подпункте «Прокси».

Если другим используемым Вами приложениям, прокси-сервер для работы не требуется, но при этом Вы хотите, чтобы запросы Postman проходили только через прокси-сервер, то Вам следует использовать глобальную настройку прокси. Выключите системный прокси и включите глобальный прокси. Введите IP-адрес и номер порта прокси-сервера в разделе «Глобальная конфигурация прокси».

Если глобальный прокси включен, Postman будет использовать его это для любых запросов, которые соответствуют выбору HTTP / HTTPS в настройках прокси. Приложение обязательно проверит, включен ли системный прокси-сервер, и используете ли Вы его в данный момент. Если прокси-сервер не включен, Postman попытается сделать запрос напрямую по локальной сети.

Специфика тестирования REST API при работе в Postman

Если Вы хотите выполнить привычный запрос GET для своего API, используемый при стандартной тестировании, введите URL-адрес конечной точки API, установите для метода значение GET и, наконец, нажмите «Отправить».

Допустим нам необходимо получить список всех клиентов в базе данных, выполните запрос GET к конечной точке сервера API / api / clients. После нажатия кнопки «Отправить» результат должен отображаться в формате JSON, удобном для чтения обычным глазом.

Вы также можете выполнить запрос POST на своем сервере API с помощью программного решения Postman. Допустим, мы настроим свой API-интерфейс таким образом, чтобы он создавал нового клиента (client) по запросу POST. Чтобы создать нового клиента, нужно установить метод POST и конечную точку API в / api / clients. После этого необходимо перейти во вкладку «BODY», расположенной в главном окне интерфейса.

Затем нужно нажать на «raw» и выберать JSON (application / json) из всплывающего меню. После этого Вы можете ввести информацию о клиенте, которого Вы хотите добавить в базу данных, в формате JSON и нажать на кнопку «Отправить».

Все запросы, отправленные в рамках REST API сохраняются в истории Postman. Чтобы использовать запрос из истории, просто выберите его из списка, а затем нажмите «Отправить».

Таким образом, можно говорить о том, что тестирование безопасности REST API при работе в Postman требует особого подхода к онлайн безопасности. Правильно настроенный прокси-сервер или VPN способен обеспечить достаточно высокий уровень надёжности передачи запросов, устранив любые уязвимости REST API.

Обсудить в форуме