Как ограничить подключение к API до одного пользователя?

Ограничение подключения к API до одного пользователя: комплексный подход

Вопрос об ограничении API для одного пользователя на практике может интерпретироваться несколькими способами: физическое ограничение на одно подключение одновременно, ограничение на одну учетную запись или авторизация конкретного клиента. Рассмотрим все варианты с технической реализацией на PHP.

1. Концептуальное понимание требования

Чаще всего требуется не буквально одно TCP-подключение, а обеспечение того, что API используется исключительно одним доверенным клиентом (например, внутренним сервисом или партнерским приложением). Основные угрозы:

• Неавторизованный доступ
• Множественные запросы одного пользователя, ведущие к нагрузке
• Подмена клиента

2. Основные методы аутентификации и авторизации для одного клиента

API Key (Токен) с сохранением в хранилище

Самый распространенный метод. Генерируется уникальный ключ, который клиент передает в каждом запросе.

// Генерация и сохранение ключа (одноразовая операция)
$apiKey = bin2hex(random_bytes(32));
file_put_contents('/secure/path/api_key.txt', $apiKey);

// Проверка в API endpoint
function validateApiKey($providedKey) {
    $validKey = file_get_contents('/secure/path/api_key.txt');
    return hash_equals($validKey, $providedKey);
}

// Использование в middleware или непосредственно
if (!validateApiKey($_SERVER['HTTP_X_API_KEY'])) {
    http_response_code(401);
    die('Invalid API key');
}

JWT (JSON Web Token) с фиксированным секретным ключом

Позволяет передавать больше контекста, сохраняя криптографическую подлинность.

// Создание JWT для одного пользователя
use Firebase\JWT\JWT;

$secretKey = 'your_super_secret';
$payload = [
    'iss' => 'your_api',
    'aud' => 'single_client',
    'iat' => time(),
    'exp' => time() + 3600
];

$jwt = JWT::encode($payload, $secretKey, 'HS256');

// Проверка в каждом запросе
try {
    $decoded = JWT::decode($_SERVER['HTTP_AUTHORIZATION'], $secretKey, ['HS256']);
    // Проверка дополнительных условий, например, aud === 'single_client'
} catch (Exception $e) {
    http_response_code(401);
    die('Invalid token');
}

3. Механизмы ограничения физических подключений и запросов

Если требуется буквально ограничить количество одновременных соединений или частоту запросов, применяются следующие техники:

Rate Limiting (ограничение частоты запросов)

Реализуется через сохранение счетчиков в Redis или Memcached.

// Redis-based rate limiter для одного IP/ключа
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);

$apiKey = $_SERVER['HTTP_X_API_KEY'];
$currentTime = time();
$window = 60; // секунд
$maxRequests = 10; // максимальное количество запросов в окне

$key = "rate_limit:$apiKey:$currentTime";
$requests = $redis->get($key);

if ($requests >= $maxRequests) {
    http_response_code(429);
    die('Rate limit exceeded');
}

$redis->incr($key);
$redis->expire($key, $window);

Семафоры для ограничения одновременных запросов

Можно ограничить количество исполняющихся одновременно запросов для одного пользователя.

// Использование файлового семафора (для простых случаев)
$semaphoreFile = '/tmp/api_semaphore.lock';
$maxConcurrent = 1;

$current = (int) file_get_contents($semaphoreFile);
if ($current >= $maxConcurrent) {
    http_response_code(503);
    die('Too many concurrent requests');
}

file_put_contents($semaphoreFile, $current + 1);
// Выполнение логики API...
file_put_contents($semaphoreFile, $current); // уменьшаем после завершения

4. Дополнительные меры безопасности и идентификации

Для строгой привязки к единственному клиенту можно комбинировать несколько факторов:

• IP Whitelisting (фильтрация по IP): разрешать запросы только с определенного IP-адреса.

$allowedIp = '192.168.1.100';
if ($_SERVER['REMOTE_ADDR'] !== $allowedIp) {
    http_response_code(403);
    die('IP not allowed');
}

• Client Certificate Authentication (TLS/SSL): использование двустороннего SSL для идентификации клиента через сертификат.

• HMAC подписи запросов: клиент подписывает каждый запрос секретным ключом, сервер проверяет подпись.

5. Архитектурные рекомендации и лучшие практики

1. Не храните секреты в коде или конфигурационных файлах репозитория. Используйте безопасные хранилища (Hashicorp Vault, AWS Secrets Manager) или переменные окружения.
2. Всегда используйте HTTPS для передачи любых аутентификационных данных.
3. Реализуйте мониторинг и логирование всех попыток доступа для обнаружения аномалий.
4. Периодически обновляйте ключи даже для одного пользователя по принципу "ротации секретов".
5. Рассмотрите использование готовых решений для API Gateway (Kong, AWS API Gateway), которые предоставляют встроенные механизмы ограничения.

6. Полный пример реализации для одного пользователя

// index.php — точка входа API
require_once 'auth.php';
require_once 'rate_limiter.php';

// 1. Проверка IP (опционально)
if (!isIpAllowed()) {
    denyAccess();
}

// 2. Проверка API ключа
if (!validateApiKey(getApiKeyFromRequest())) {
    denyAccess();
}

// 3. Проверка rate limit
if (isRateLimitExceeded(getClientIdentifier())) {
    denyRateLimit();
}

// 4. Основная логика API
processRequest();

// Функции в auth.php
function getApiKeyFromRequest() {
    // Из заголовка или параметра
    return $_SERVER['HTTP_X_API_KEY'] ?? '';
}

function validateApiKey($key) {
    $storedKey = getenv('API_SECRET_KEY'); // Из переменной окружения
    return hash_equals($storedKey, $key);
}

Таким образом, ограничение API до одного пользователя — это не одна техническая мера, а комбинация аутентификации, авторизации и ограничения запросов, адаптированная под конкретные требования безопасности и бизнес, но при этом достаточно простая в реализации на PHP через механизмы ключей, токенов и систем контроля доступа.