Dois-je supprimer mes clés API de mes applications mobiles ?

Comparaison de l'authentification API sécurisée d'Approov (basée sur un jeton) avec la protection des secrets d'exécution

Oui ou non!  Approov propose en fait les deux options.

Authentification API sécurisée :

Non, vous n'avez pas besoin de supprimer les clés API lorsque vous utilisez les jetons JSON d'Approov, où l'API backend est mise à jour. Nous vous suggérons d'utiliser le jeton Approov, provenant de l'application attestée, comme deuxième facteur à côté de la clé API pour accéder aux données. L'API backend doit ensuite authentifier les deux afin de permettre l'accès à vos services backend. Cette méthode est la meilleure pour sécuriser les clés API propriétaires (c'est-à-dire celles associées à l'organisation ou au développeur propriétaire de l'application mobile).

Protection des secrets d'exécution :

Oui, vous pouvez également supprimer toutes les clés API, et il est généralement recommandé de supprimer les clés API de vos applications mobiles pour des raisons de sécurité. Le stockage des clés API directement dans le code ou les fichiers de configuration de votre application présente un risque de sécurité, car lorsqu'un attaquant accède à l'application, il peut potentiellement extraire les clés API et les utiliser à mauvais escient. Avec Approov Runtime Secrets Protection, la clé API n'est livrée « juste à temps » à l'application mobile que si elle réussit les contrôles Approov, elle ne peut donc pas faire l'objet d'une ingénierie inverse hors de l'application. Cette méthode est compatible avec les clés API propriétaires et tierces.

Comparaison des approches :

Discutons des similitudes et des différences entre la protection secrète d'exécution d'Approov et l'authentification API sécurisée :

Similitudes:

Protection des secrets : la protection des secrets d'exécution et l'authentification sécurisée des API fournies par Approov renforcent la sécurité des applications mobiles et de leurs API.

Focus sur la sécurité des clés API : les deux approches abordent la sécurité des clés API, qui sont les informations d'identification de sécurité utilisées pour authentifier et autoriser les requêtes API.

Atténuation des accès non autorisés : les deux mécanismes empêcheront l'accès non autorisé aux API et protégeront contre l'utilisation abusive des clés API.

Différences:

Protection des secrets d'exécution : la protection des secrets d'exécution d'Approov se concentre sur la sécurisation des secrets d'application et des clés API dans le cloud. Cette approche implique la gestion et la rotation des secrets en toute sécurité, afin de les fournir juste à temps aux applications entièrement attestées au moment de l'exécution. Il fournit un moyen de protéger et de gérer les secrets en dehors du code de l'application, améliorant ainsi la sécurité et le contrôle.

Authentification API sécurisée : l'authentification API sécurisée d'Approov fournit un mécanisme d'authentification utilisé pour autoriser les requêtes API. Cela implique des techniques d’authentification basées sur des jetons. L'authentification sécurisée des API garantit que seules les demandes autorisées et authentifiées sont autorisées à accéder aux API en effectuant une attestation sur l'application mobile pour s'assurer qu'elle n'a pas été modifiée ou falsifiée.

Clés API propriétaires et tiers : les solutions Approov peuvent gérer à la fois les clés API propriétaires et tiers. Les clés API propriétaires sont celles associées à l'organisation ou au développeur propriétaire de l'application mobile, tandis que les clés API tierces sont utilisées pour accéder à des services externes ou à des API fournies par d'autres organisations. Les approches d'Approov fournissent des mécanismes pour gérer et authentifier en toute sécurité les deux types de clés API.

Pour obtenir des informations plus détaillées sur la façon dont Approov gère la protection des secrets d'exécution, l'authentification sécurisée des API et la gestion des clés API propriétaires et tierces, il est recommandé de lire les guides de démarrage rapide ou les documents de développement Approov, car ils fourniront des informations spécifiques sur chaque solution et comment aborder ces aspects de la sécurité des applications mobiles et de l'authentification API.