AuthZEN：基于标准的API网关授权解决方案 - Tyk.io

API网关在保护API访问、处理身份验证、授权以及流量管理方面一直扮演着重要角色。然而，深入的授权通常需要自定义实现或特定于服务的逻辑，这不仅增加了操作复杂性，还可能导致不一致性。本文将探讨如何通过AuthZEN实现基于标准的API网关授权解决方案，从而提升互操作性和安全性。

为什么需要中等粒度的授权？

授权通常分为三个粒度级别：

1. 粗粒度授权：控制访问的范围较广，例如整个应用程序或主要系统功能。基于角色的访问控制（RBAC）是典型的粗粒度授权方式。例如：

   • 分析师可以查看余额，但无法修改。
   • 客户只能访问自己的发票，而无法查看他人的发票。

   这种级别的授权通常在应用程序逻辑或数据库中实现，但也容易受到诸如对象级别授权漏洞（BOLA）的攻击，这在OWASP API安全前10名中占据一席之地。

2. 中等粒度授权：这是大多数API安全需求的核心，使API网关成为理想的策略执行点（PEP）。在网关级别实施访问控制，不仅可以减少后端负载，还能防止未经授权的请求到达微服务，同时确保所有API的安全策略一致。

通过在API网关中实现中等粒度的授权，可以有效提升系统的安全性和效率。

深度防御：分层的API安全策略

API网关作为网络边缘的第一道防线，能够在流量到达上游服务之前执行安全策略。深度防御策略强调多层次的保护，确保即使某一层被绕过，其他层仍能提供额外的控制措施，限制潜在的安全威胁。

API网关的核心安全功能

• 身份验证和访问控制：集中管理用户身份和权限。
• 速率限制和节流：防止拒绝服务（DoS）或暴力攻击。
• 威胁检测和日志记录：实时监控和记录潜在威胁。
• 请求和输入验证：基于OpenAPI模式确保数据的完整性。

此外，应用程序作为最后一道防线，可以在业务逻辑层面进一步验证用户权限，并执行更细粒度的输入验证和监控。这种分层的安全模型确保了微服务无需处理复杂的身份验证和授权逻辑，从而提升整体系统的安全性和可扩展性。

AuthZEN：标准化的API授权解决方案

AuthZEN旨在通过提供统一的API授权标准，简化策略执行点（PEP）与策略决策点（PDP）之间的通信。相比于传统的定制授权机制，AuthZEN的标准化方法具有以下优势：

为什么标准化很重要？

OpenID AuthZEN工作组联合主席Omri Gazitt将授权领域的核心问题描述为“N-M”挑战：每个应用程序都有其独特的权限分配方式，导致开发人员需要为每个系统创建定制集成。这种碎片化不仅效率低下，还增加了开发成本。

AuthZEN通过定义通用的API，使问题从“N*M”（每个应用程序与每个授权提供商集成）转变为“N+M”（应用程序与标准化API集成一次）。这种标准化带来的好处包括：

• 降低开发复杂性：无需为每个授权平台创建定制集成。
• 提升互操作性：API网关和应用程序可以通过单一API与多个授权平台集成。
• 改进安全治理：确保所有系统之间的一致性和安全性。

通过采用AuthZEN，API网关如Tyk可以实现无缝互操作性，同时减少操作开销。

Tyk的AuthZEN插件介绍

Tyk的AuthZEN插件使其API网关能够作为完全标准化的策略执行点（PEP）。该插件不依赖于定制逻辑，而是通过AuthZEN协议与多个策略决策点（PDP）无缝通信。

插件的工作原理

当API网关收到请求时：

1. 网关提取请求的相关细节，例如用户身份、请求方法和访问的资源。
2. 使用AuthZEN协议与PDP通信，评估访问控制策略。
3. 根据PDP返回的结果决定是否允许请求通过。

这种标准化的授权流程不仅提升了安全性，还简化了跨系统的集成。

结论

API网关作为实施中等粒度授权的核心组件，可以确保安全高效的访问控制。通过引入AuthZEN，组织能够构建更具扩展性和安全性的API，而无需在微服务中嵌入复杂的决策逻辑，也无需依赖特定的授权提供商。

AuthZEN通过提供与不同PDP通信的标准化框架，简化了策略执行过程。这不仅减少了操作开销，还确保了所有API之间的一致性和互操作性。未来，随着AuthZEN的进一步发展，API授权的标准化将为开发者和企业带来更多便利和安全保障。

参考文献

https://openid.net/wg/authzen/specifications/

原文链接: https://tyk.io/blog/authzen-standards-based-api-authorisation-for-api-gateways/