API গেটওয়ে এর মাধ্যমে সিকিউরিটি ইমপ্লিমেন্টেশন (Security Implementation with API Gateway)
API গেটওয়ে মাইক্রোসার্ভিস আর্কিটেকচারে একটি অত্যন্ত গুরুত্বপূর্ণ উপাদান, যা ক্লায়েন্টের অনুরোধ গ্রহণ করে এবং সেগুলিকে সঠিক মাইক্রোসার্ভিসে পাঠায়। এটি সেন্ট্রালাইজড নিরাপত্তা ব্যবস্থাপনা, অথেন্টিকেশন, অথরাইজেশন এবং অন্যান্য সিকিউরিটি মেকানিজম বাস্তবায়ন করতে ব্যবহৃত হয়। API গেটওয়ে সিস্টেমে সিকিউরিটি বাস্তবায়ন করলে বিভিন্ন মাইক্রোসার্ভিসের জন্য একক নিরাপত্তা ব্যবস্থা তৈরি করা যায়, যা সিস্টেমের নিরাপত্তা বৃদ্ধি করে এবং প্রতিটি সার্ভিসের জন্য পৃথক নিরাপত্তা বাস্তবায়নের প্রয়োজনীয়তা দূর করে।
এখানে কিছু গুরুত্বপূর্ণ সিকিউরিটি প্যাটার্ন এবং কৌশল আলোচনা করা হলো যা API গেটওয়ে মাধ্যমে ইমপ্লিমেন্ট করা যায়:
১. অথেন্টিকেশন (Authentication)
অথেন্টিকেশন হল প্রক্রিয়া যার মাধ্যমে API গেটওয়ে নিশ্চিত করে যে ক্লায়েন্ট বা ব্যবহারকারী প্রকৃতপক্ষে কে। এটি সাধারণত JWT (JSON Web Token) বা OAuth 2.0 টোকেন ব্যবহারের মাধ্যমে সম্পন্ন করা হয়।
অথেন্টিকেশন কৌশল:
JWT (JSON Web Token):
- API গেটওয়ে JWT টোকেন ব্যবহার করে অথেন্টিকেশন প্রক্রিয়া সম্পন্ন করে। ক্লায়েন্ট প্রথমে একটি লোগইন রিকোয়েস্ট পাঠায়, যার মাধ্যমে একটি JWT টোকেন জেনারেট হয়। এই টোকেন পরে API গেটওয়েতে পাঠানো হয় এবং গেটওয়ে তা যাচাই করে।
উদাহরণ:
- একটি ক্লায়েন্ট ইউজারনেম এবং পাসওয়ার্ড ব্যবহার করে লগইন করে এবং JWT টোকেন পায়। এই টোকেনটি API গেটওয়ের মাধ্যমে সার্ভিস কলের জন্য পাঠানো হয় এবং গেটওয়ে এটি যাচাই করে।
- OAuth 2.0:
- OAuth 2.0 সাধারণত তৃতীয় পক্ষের অথেন্টিকেশন ব্যবস্থায় ব্যবহৃত হয় (যেমন, গুগল, ফেসবুক, বা গিটহাব লগইন)। API গেটওয়ে ক্লায়েন্টের OAuth 2.0 টোকেন যাচাই করে এবং শুধুমাত্র বৈধ ব্যবহারকারীদের অ্যাক্সেস দেয়।
API গেটওয়ে অথেন্টিকেশন উদাহরণ (JWT):
public class JwtAuthenticationFilter extends OncePerRequestFilter {
private static final String HEADER_STRING = "Authorization";
private static final String TOKEN_PREFIX = "Bearer ";
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
String header = request.getHeader(HEADER_STRING);
if (header == null || !header.startsWith(TOKEN_PREFIX)) {
chain.doFilter(request, response);
return;
}
String token = header.substring(TOKEN_PREFIX.length());
try {
Claims claims = Jwts.parser()
.setSigningKey(SECRET_KEY)
.parseClaimsJws(token)
.getBody();
String user = claims.getSubject();
if (user != null) {
UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(user, null, new ArrayList<>());
SecurityContextHolder.getContext().setAuthentication(authentication);
}
} catch (Exception e) {
response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Invalid token");
return;
}
chain.doFilter(request, response);
}
}অথেন্টিকেশনের সুবিধা:
- সেন্ট্রালাইজড অথেন্টিকেশন: সমস্ত সার্ভিসের জন্য একক অথেন্টিকেশন ব্যবস্থা ব্যবহৃত হয়, যা নিরাপত্তা সহজ করে।
- নিরাপত্তা উন্নতি: JWT বা OAuth 2.0 টোকেন ব্যবহারের মাধ্যমে নিরাপত্তা নিশ্চিত করা যায়।
- অ্যাপ্লিকেশন স্কেলিং: একাধিক সার্ভিসে নিরাপত্তা ব্যবস্থাপনা একসাথে করা সম্ভব।
২. অথরাইজেশন (Authorization)
অথরাইজেশন হল প্রক্রিয়া যা নিশ্চিত করে যে একটি অথেন্টিকেটেড ব্যবহারকারী কোন রিসোর্স বা অ্যাকশন অ্যাক্সেস করতে পারে। API গেটওয়ে এই কাজটি রোল-বেসড অ্যাক্সেস কন্ট্রোল (RBAC), স্কোপ ভিত্তিক অ্যাক্সেস কন্ট্রোল (Scope-Based Access Control) বা ক্লেইমস ব্যবহার করে করতে পারে।
অথরাইজেশন কৌশল:
- Role-Based Access Control (RBAC):
- RBAC অনুযায়ী, ব্যবহারকারীদের একাধিক রোল দেওয়া হয় এবং প্রতিটি রোলের জন্য নির্দিষ্ট অনুমতিসমূহ নির্ধারণ করা হয়। API গেটওয়ে এই রোল ভিত্তিক নিয়মগুলি অনুসরণ করে শুধুমাত্র অনুমোদিত ব্যবহারকারীদের রিসোর্স অ্যাক্সেস দেয়।
- Scope-Based Access Control (Scope):
- OAuth 2.0 বা JWT টোকেনের scopes ব্যবহার করে API গেটওয়ে নিশ্চিত করে যে ক্লায়েন্ট কেবল সেই রিসোর্স বা ফিচার অ্যাক্সেস করতে পারবে যা তার scope-এ অন্তর্ভুক্ত।
- Claims-Based Authorization:
- JWT টোকেনের মধ্যে থাকা claims ভিত্তিতে ব্যবহারকারীর অনুমতি চেক করা হয়। যেমন,
role: adminবাpermissions: read-writeক্লেইমগুলির মাধ্যমে অনুমতি নির্ধারণ করা হয়।
- JWT টোকেনের মধ্যে থাকা claims ভিত্তিতে ব্যবহারকারীর অনুমতি চেক করা হয়। যেমন,
API গেটওয়ে অথরাইজেশন উদাহরণ (RBAC):
public class RoleAuthorizationFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
String role = request.getHeader("Role");
if ("ADMIN".equals(role)) {
chain.doFilter(request, response); // Allow access
} else {
response.sendError(HttpServletResponse.SC_FORBIDDEN, "You do not have permission to access this resource");
return;
}
}
}অথরাইজেশনের সুবিধা:
- ভিন্ন ভিন্ন অনুমতি সেটিং: বিভিন্ন রোল বা ক্লেইম অনুসারে ব্যবহারকারীকে নির্দিষ্ট রিসোর্স বা কার্যকলাপ অ্যাক্সেস দেয়া।
- কেন্দ্রীয় অনুমতি নিয়ন্ত্রণ: API গেটওয়ে দ্বারা সমস্ত সার্ভিসের জন্য একক অনুমতি ব্যবস্থাপনা।
৩. IP ব্ল্যাকলিস্ট এবং রেট লিমিটিং (IP Blacklisting and Rate Limiting)
API গেটওয়ে ব্যবহার করে IP ব্ল্যাকলিস্ট এবং রেট লিমিটিং কার্যক্রম বাস্তবায়ন করা যায়, যাতে সিস্টেমকে অতিরিক্ত ট্র্যাফিক এবং সাইবার আক্রমণ থেকে রক্ষা করা যায়।
IP ব্ল্যাকলিস্টিং:
- IP ব্ল্যাকলিস্টিং এর মাধ্যমে API গেটওয়ে সুনির্দিষ্ট IP অ্যাড্রেস ব্লক করতে পারে যা সিস্টেমে অনুপ্রবেশের চেষ্টা করছে।
রেট লিমিটিং:
- API গেটওয়ে রেট লিমিটিং কৌশল ব্যবহার করে ক্লায়েন্টদের নির্দিষ্ট সময়ে (যেমন প্রতি মিনিটে ১০০টি অনুরোধ) সর্বাধিক অনুরোধ সীমাবদ্ধ করতে পারে, যাতে সিস্টেমে অতিরিক্ত চাপ পড়ে না।
রেট লিমিটিং উদাহরণ:
public class RateLimitingFilter extends OncePerRequestFilter {
private static final int MAX_REQUESTS = 100;
private static final long TIME_WINDOW = 60000; // 1 minute
private static final Map<String, Long> requestTimestamps = new HashMap<>();
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
String clientIP = request.getRemoteAddr();
long currentTime = System.currentTimeMillis();
if (requestTimestamps.containsKey(clientIP)) {
long lastRequestTime = requestTimestamps.get(clientIP);
if (currentTime - lastRequestTime < TIME_WINDOW) {
response.sendError(HttpServletResponse.SC_TOO_MANY_REQUESTS, "Rate limit exceeded");
return;
}
}
requestTimestamps.put(clientIP, currentTime);
chain.doFilter(request, response);
}
}রেট লিমিটিং এবং IP ব্ল্যাকলিস্টিং এর সুবিধা:
- সুরক্ষা বৃদ্ধি: সিস্টেমের উপর অতিরিক্ত লোড এবং সাইবার আক্রমণ যেমন DDoS থেকে রক্ষা করা যায়।
- বিশ্বস্ততা এবং স্থিতিশীলতা: রেট লিমিটিং ব্যবহার করে অ্যাপ্লিকেশন স্থিতিশীল রাখার সুযোগ বৃদ্ধি পায়।
সারসংক্ষেপ
API গেটওয়ে এর মাধ্যমে **
অথেন্টিকেশন** এবং অথরাইজেশন প্রক্রিয়া একীভূত করা যেতে পারে, যা সিস্টেমের নিরাপত্তা এবং কন্ট্রোল সহজতর করে। API গেটওয়ে JWT, OAuth 2.0, RBAC, scope-based authorization এবং claims-based authorization ব্যবহার করে সিকিউরিটি বাস্তবায়ন করতে সাহায্য করে। এছাড়া, IP ব্ল্যাকলিস্টিং এবং রেট লিমিটিং এর মাধ্যমে সিস্টেমের উপর অপ্রত্যাশিত ট্র্যাফিক বা আক্রমণ প্রতিরোধ করা যায়। API গেটওয়ে এইসব নিরাপত্তা ব্যবস্থা একক পয়েন্টে কার্যকরীভাবে বাস্তবায়ন করে, যা সিস্টেমের নিরাপত্তা এবং কর্মক্ষমতা নিশ্চিত করে।
Read more
