Varovanje API-jev

1. Namen

Ta politika določa pravila varovanja API-jev, ki omogočajo elektronsko izmenjavo podatkov med sistemi.

2. Avtentikacija in avtorizacija

API-ji morajo uporabljati:

• JWT dostopne žetone ali
• sejne žetone z varnim prenosom

Dostop brez žetona ni dovoljen.

3. Šifriranje

• Ves promet mora potekati izključno preko HTTPS/TLS 1.2+
• Ključi in certifikati se hranijo varno, dostop imajo samo pooblaščene osebe

4. Omejevanje dostopa (Rate limiting)

• Uporablja se omejevanje zahtevkov (npr. 100/min)
• Vpeljana je zaščita pred:
  • DDoS
  • Brute-force
  • Replay napadi

5. Validacija podatkov

• Vsi vhodni podatki se preverijo (input validation)
• Uporablja se zaščita pred injekcijami (SQLi, XSS)

6. Beleženje in nadzor

• API klici se beležijo (brez shranjevanja osebnih podatkov v žetonih!)
• Redno se preverjajo poskusi nepooblaščenega dostopa

7. Hramba in brisanje žetonov

• Žetoni se hranijo samo toliko časa, kolikor je nujno
• Po odjavi ali poteku se izbrišejo ali prekličejo
• Žetone hranimo v varnih piškotkih