REST-APIs in TYPO3 v14 sicher machen: die api-capability-bridge

Dieses Werkzeug schützt Ihre Schnittstellen in TYPO3 v14. Es erlaubt nur sichere Verbindungen.
Kurt Dirnbauer
Kurt Dirnbauer
CEO
Alpha
TYPO3Webentwicklung

Auf einen Blick

  • Schnittstellen schützen: Nur sichere Verbindungen werden in TYPO3 aktiv.
  • Gefahrenstufen: Jede Schnittstelle bekommt eine Stufe für das Risiko.
  • Strenge Regeln: Ohne Sicherheitsbericht sperrt das System die Verbindung.
  • Sichere Anmeldung: Benutzer melden sich mit verschlüsselten Token-Codes an.

Schnittstellen im Internet heißen REST-APIs. Diese Schnittstellen sind sehr mächtig. Darum müssen Sie diese Schnittstellen gut schützen. Sie nutzen vielleicht das Werkzeug sg_apicore für Ihre Daten. Dann dürfen wichtige Bereiche nicht für jeden offen sein. Die Erweiterung api-capability-bridge hilft Ihnen dabei. Sie prüft alle Verbindungen nach festen Regeln. Das System schaltet nur sichere Verbindungen frei.

Die Grundlage dafür ist ein Sicherheitsbericht. Man nennt diesen Bericht Manifest. Der Bericht zeigt das Risiko für jede Erweiterung. Das Risiko kann niedrig oder hoch sein. Die Brücke prüft diese Risiken sofort. Diese Prüfung passiert vor jeder Anfrage aus dem Internet.

Inhaltsverzeichnis  

Überblick

Regeln und die Welt von sg_apicore.

Funktionen im Detail

Regel-Dateien, Risiken und sichere Anmeldung.

Installation

So installieren Sie das Werkzeug.

Fazit

Eine kurze Zusammenfassung.

dirnbauer/api-capability-bridge

Open-source repository on GitHub. View source code, releases, issues, and project activity directly on GitHub.

View repository

Überblick  

Die api-capability-bridge ist eine Erweiterung für TYPO3. Sie ist neu. Entwickler testen das Werkzeug noch. Sie erweitert das Werkzeug sg_apicore um eine Sicherheitsprüfung. Beim Start liest das System die Datei config/capability-policy.yaml. Das System prüft jede Verbindung mit dem Sicherheitsbericht. Das System aktiviert nur geprüfte Verbindungen.

Der Sicherheitsbericht teilt das Risiko in Stufen ein. Es gibt vier Stufen von niedrig bis sehr hoch. Sie können eine Mindeststufe für jede Verbindung festlegen. Sie können auch das Feld policy.require_manifest nutzen. Dann blockiert das System alle Verbindungen ohne Sicherheitsbericht. Es gibt keine Ausnahmen.

Die Erweiterung hat auch eine eigene Anmeldung. Dafür nutzt sie verschlüsselte Token-Codes. Das System speichert diese Codes sicher in der Datenbank. Die Codes gehören zu den Benutzern im TYPO3-Backend. Sie können auch den Arbeitsbereich bei jeder Anfrage wechseln. Das ist wichtig für die Arbeit mit Texten im Team.

Nur für TYPO3 v14

Diese Erweiterung braucht TYPO3 in der Version 14.3 oder neuer. Sie braucht auch PHP in der Version 8.3 oder neuer. Zudem benötigen Sie die Erweiterungen sg-apicore und typo3-capability-manifest. Entwickler testen das Werkzeug noch. Prüfen Sie den Einsatz im echten Betrieb darum genau.

Funktionen im Detail  

FunktionNutzen
config/capability-policy.yamlHaupt-Einstellung: Hier legen Sie alle Schnittstellen und Versionen fest. Sie können auch Gruppen für Schnittstellen erstellen.
Prüfung für jede VerbindungDas System vergleicht jede Schnittstelle mit dem Sicherheitsbericht. Sie können eine Mindest-Risikostufe festlegen.
policy.require_manifestSperre ohne Bericht: Das System blockiert Schnittstellen ohne Sicherheitsbericht sofort. Es gibt keine Ausnahmen.
NewsStudioControllerSchnittstelle für Nachrichten: Sie können Nachrichten erstellen, bearbeiten und löschen. Auch der Upload von Bildern ist geschützt möglich.
BackendBearerOpaqueTokenProviderSichere Anmeldung: Das System teilt Token-Codes den Benutzern zu. Sie können den Arbeitsbereich flexibel wechseln.
api_definitions-BlockZentrale Liste: Sie tragen alle Ihre Schnittstellen übersichtlich in einer Datei ein.

Der NewsStudioController ist ein gutes Beispiel. Er zeigt, wie die Prüfung für Nachrichten funktioniert. Sie können damit Nachrichten erstellen und bearbeiten. Auch das Hochladen von Bildern ist möglich. Zugriffsrechte schützen diese Funktionen. Sie können eigene Schnittstellen nach diesem Vorbild bauen.

Die Anmeldung mit den Token-Codes ist einfach. Sie erstellen einen Code im TYPO3-Backend. Das System verschlüsselt den Code in der Datenbank. Bei jeder Anfrage prüft das System diesen Code. Das nutzt die eingebaute Sicherheit von TYPO3.

Installation  

Installation mit Composer
composer config repositories.api-capability-bridge vcs https://github.com/dirnbauer/api-capability-bridge.git
composer require webconsulting/api-capability-bridge:@alpha

Häufige Fragen  

Fazit  

Die api-capability-bridge arbeitet sehr vorsichtig. Das System schaltet Schnittstellen erst nach einer erfolgreichen Prüfung frei. Die Einrichtung am Anfang braucht etwas mehr Zeit. Dafür sind Ihre Schnittstellen danach sehr sicher. Das Werkzeug ist ideal für Teams mit hohen Sicherheitsregeln. Ein Test lohnt sich für Sie.

Möchten Sie mehr über den Sicherheitsbericht erfahren? Lesen Sie dazu unseren Artikel /blog/typo3-capability-manifest.

Dank

Diese Erweiterung nutzt die Arbeit von sgalinski. Wir danken dem Team von sgalinski für die Hilfe. Die Erweiterung ist für alle Menschen frei nutzbar.

Zurück zur Liste

Weitere Artikel

Sprechen wir über Ihr Projekt.

Kontakt

Standorte

  • Mattersburg
    Johann Nepomuk Bergerstraße 7/2/14
    7210 Mattersburg, Austria
  • Wien
    Ungargasse 64-66/3/404
    1030 Wien, Austria

Ein Teil von diesem Inhalt wurde mit KI gemacht.