Безпека у додатках на C++ з використанням C++ REST SDK

5 Березня 2024 в 22:01 24

При розробці додатків, що використовують мережеве взаємодію, безпека є однією з ключових аспектів. В особливості це стосується клієнт-серверних застосунків, де необхідно забезпечити безпечний обмін даними між клієнтом та сервером. У цій статті ми розглянемо питання безпеки у додатках, написаних на мові програмування C++, з використанням C++ REST SDK.

Одним із широко використовуваних методів забезпечення безпеки є базова аутентифікація, яка полягає у передачі облікових даних (ім’я користувача та пароля) під час взаємодії з сервером. У C++ REST SDK ми можемо використовувати цей метод за допомогою класу http_client_config та методу set_credentials, як показано у наступному коді:

credentials creds(
   utility::conversions::to_string_t(username),
   utility::conversions::to_string_t(password));
http_client_config config;
config.set_credentials(creds);
m_client.reset(new http_client(host, config));

credentials creds(

utility::conversions::to_string_t(username),

utility::conversions::to_string_t(password));

http_client_config config;

config.set_credentials(creds);

m_client.reset(new http_client(host, config));

Цей код дозволяє встановити облікові дані для клієнта, які потім будуть використовуватися при взаємодії з сервером.

Проте, після налаштування клієнта і надсилання запитів на сервер, виникає питання: де на сервері ми можемо отримати ці облікові дані? У вищенаведеному коді ми бачимо створення серверного об’єкту http_listener та визначення обробника для методу GET:

m_pListener.reset(new http_listener(addr, config));
auto handleGet = [this](http_request request)->void
{
    auto path = request.request_uri().path();
    std::string endpoint;
    CommonFramework::WStringToString(path, endpoint);
    auto callback = m_pParent->GetCallback(Method::GetId, endpoint);
    if (callback)
    {
        std::unique_ptr<JSONSerilizer> serializer;
        serializer.reset(CommonFramework::MakeSerializer(false));
        callback->Do(serializer.get());
        request.reply(status_codes::OK, serializer->GetJsonValue());
    }
    else {
        request.reply(status_codes::NotFound, U("Not Found"));
    }
};
m_pListener->support(methods::GET, handleGet);

m_pListener.reset(new http_listener(addr, config));

auto handleGet = [this](http_request request)->void

{

auto path = request.request_uri().path();

std::string endpoint;

CommonFramework::WStringToString(path, endpoint);

auto callback = m_pParent->GetCallback(Method::GetId, endpoint);

if (callback)

{

std::unique_ptr<JSONSerilizer> serializer;

serializer.reset(CommonFramework::MakeSerializer(false));

callback->Do(serializer.get());

request.reply(status_codes::OK, serializer->GetJsonValue());

}

else {

request.reply(status_codes::NotFound, U("Not Found"));

}

};

m_pListener->support(methods::GET, handleGet);

Проте в цьому коді ми не бачимо механізму отримання облікових даних від клієнта. Це може бути розглянуто як певна проблема безпеки, оскільки сервер не отримує облікові дані користувача під час автентифікації.

Можливим рішенням цієї проблеми може бути передача облікових даних через заголовок запиту. Наприклад, клієнт може передати облікові дані у заголовку Authorization, а сервер може їх отримати та перевірити під час обробки запиту. Такий підхід дозволяє забезпечити безпеку передачі облікових даних між клієнтом та сервером і уникнути передачі їх через тіло запиту, що може бути менш безпечним.

У кінцевому підсумку, забезпечення безпеки у додатках на C++ з використанням C++ REST SDK вимагає уваги до деталей як на клієнтській, так і на серверній стороні. Використання базової аутентифікації та правильна обробка облікових даних на сервері допоможе забезпечити безпеку мережевої взаємодії у вашому додатку.