Как разработать безопасный скрипт для обмена валют с API интеграцией

От adminШкола ремонта

Создание скрипта для обмена валют с интеграцией API — это задача, требующая не только технических навыков, но и особого внимания к безопасности. Скрипт обменника валют должен быть надежным, устойчивым к сбоям и защищенным от потенциальных угроз, таких как утечка данных или некорректная обработка пользовательского ввода. В этой статье мы подробно разберем, как разработать безопасный скрипт на Python с использованием API для получения курсов валют, уделяя особое внимание аспектам безопасности.

Шаг 1: Понимание требований и выбор API

скрипт обменника должен обеспечивать точную конвертацию валют на основе актуальных курсов, получаемых через API. Для нашего проекта мы выберем ExchangeRate-API, так как оно предоставляет надежный доступ к данным и имеет бесплатный тариф для тестирования.

Получение API-ключа

  1. Зарегистрируйтесь на сайте ExchangeRate-API.

  2. Получите API-ключ и сохраните его в безопасном месте.

  3. Никогда не храните ключ непосредственно в коде — мы разберем, как безопасно управлять им позже.

Шаг 2: Настройка безопасного окружения

Безопасность начинается с правильной настройки рабочей среды. Используем Python 3.8+ и библиотеку requests для работы с API.

Установка зависимостей

Установите библиотеку requests и python-dotenv для управления конфиденциальными данными:

pip install requests python-dotenv

Безопасное хранение API-ключа

  1. Создайте файл .env в корне проекта:

    API_KEY=ваш_ключ_здесь

  2. Добавьте .env в .gitignore, чтобы исключить его из системы контроля версий.

  3. Используйте библиотеку python-dotenv для загрузки ключа.

Шаг 3: Написание базового скрипта

Создадим скрипт, который безопасно запрашивает курсы валют и выполняет конвертацию. Создайте файл secure_currency_exchange.py:

import requests
from dotenv import load_dotenv
import os

def load_api_key():
    load_dotenv()
    api_key = os.getenv("API_KEY")
    if not api_key:
        raise ValueError("API ключ не найден в файле .env")
    return api_key

def get_exchange_rates(api_key):
    try:
        url = f"https://v6.exchangerate-api.com/v6/{api_key}/latest/USD"
        response = requests.get(url, timeout=10)
        response.raise_for_status()  # Проверка на HTTP ошибки
        data = response.json()
        
        if data["result"] == "success":
            return data["conversion_rates"]
        else:
            raise ValueError("Ошибка API: " + data.get("error-type", "Неизвестная ошибка"))
    except requests.exceptions.RequestException as e:
        print(f"Ошибка сети: {e}")
        return None

def convert_currency(amount, from_currency, to_currency, rates):
    try:
        if not isinstance(amount, (int, float)) or amount <= 0:
            raise ValueError("Сумма должна быть положительным числом")
        if from_currency not in rates or to_currency not in rates:
            raise ValueError("Неверный код валюты")
        
        if from_currency != "USD":
            amount = amount / rates[from_currency]
        converted_amount = amount * rates[to_currency]
        return round(converted_amount, 2)
    except ZeroDivisionError:
        raise ValueError("Курс валюты равен нулю, конвертация невозможна")

def main():
    try:
        api_key = load_api_key()
        rates = get_exchange_rates(api_key)
        
        if not rates:
            return
        
        print("Доступные валюты:", ", ".join(rates.keys()))
        from_currency = input("Введите валюту для конвертации (например, EUR): ").upper().strip()
        to_currency = input("Введите целевую валюту (например, RUB): ").upper().strip()
        amount_input = input("Введите сумму: ").strip()
        
        amount = float(amount_input)
        result = convert_currency(amount, from_currency, to_currency, rates)
        print(f"{amount} {from_currency} = {result} {to_currency}")
        
        # Логирование операции
        log_conversion(amount, from_currency, to_currency, result)
        
    except ValueError as ve:
        print(f"Ошибка ввода: {ve}")
    except Exception as e:
        print(f"Произошла ошибка: {e}")

def log_conversion(amount, from_currency, to_currency, result):
    with open("conversion_log.txt", "a") as log_file:
        log_file.write(f"{amount} {from_currency} -> {result} {to_currency}\n")

if __name__ == "__main__":
    main()

Ключевые аспекты безопасности в коде

  1. Безопасное хранение API-ключа:

    • Ключ хранится в .env и загружается через python-dotenv, что предотвращает его утечку в репозиторий.

  2. Обработка ошибок:

    • Проверка HTTP-статусов через response.raise_for_status().

    • Обработка сетевых ошибок (requests.exceptions.RequestException).

    • Валидация пользовательского ввода (сумма, коды валют).

  3. Таймаут запросов:

    • Установлен таймаут в 10 секунд для предотвращения зависания при сбоях сети.

  4. Логирование:

    • Все операции конвертации записываются в файл conversion_log.txt для аудита.

Шаг 4: Защита от атак и уязвимостей

Валидация ввода

  • Проверяем, что сумма является положительным числом.

  • Удаляем пробелы из ввода валют с помощью .strip().

  • Проверяем наличие валют в словаре курсов, чтобы избежать некорректных запросов.

Защита от инъекций

Хотя наш скрипт не использует базы данных, важно избегать выполнения пользовательского ввода как кода. Мы ограничиваем ввод только кодами валют и числами, исключая возможность выполнения вредоносного кода.

Ограничение API-запросов

Чтобы избежать превышения лимитов API, можно добавить кэширование курсов валют. Например, используйте библиотеку cachetools:

pip install cachetools

Добавьте кэширование в функцию get_exchange_rates:

from cachetools import TTLCache

# Кэш на 1 час (3600 секунд)
cache = TTLCache(maxsize=1, ttl=3600)

def get_exchange_rates(api_key):
    if "rates" in cache:
        return cache["rates"]
    
    try:
        url = f"https://v6.exchangerate-api.com/v6/{api_key}/latest/USD"
        response = requests.get(url, timeout=10)
        response.raise_for_status()
        data = response.json()
        
        if data["result"] == "success":
            cache["rates"] = data["conversion_rates"]
            return cache["rates"]
        else:
            raise ValueError("Ошибка API: " + data.get("error-type", "Неизвестная ошибка"))
    except requests.exceptions.RequestException as e:
        print(f"Ошибка сети: {e}")
        return None

Кэширование снижает количество запросов к API и ускоряет работу скрипта.

Шаг 5: Тестирование безопасности

  1. Тестирование ввода:

    • Попробуйте ввести некорректные данные (например, буквы вместо суммы, несуществующие валюты).

    • Убедитесь, что скрипт корректно обрабатывает ошибки.

  2. Тестирование сети:

    • Отключите интернет и проверьте, как скрипт обрабатывает отсутствие соединения.

  3. Тестирование API-ключа:

    • Введите неверный API-ключ в .env и проверьте, выдает ли скрипт ошибку.

  4. Проверка логов:

    • Убедитесь, что все конвертации записываются в conversion_log.txt.

Шаг 6: Дополнительные меры безопасности

  1. Шифрование логов: Если логи содержат чувствительные данные, используйте библиотеку cryptography для их шифрования.

  2. Ограничение доступа: Если скрипт будет частью веб-приложения, настройте ограничение скорости запросов (rate limiting) с помощью библиотек, таких как ratelimiter.

  3. Обновление зависимостей: Регулярно проверяйте обновления для requests и других библиотек, чтобы устранить известные уязвимости:

    pip list --outdated

Шаг 7: Расширение функциональности

Для повышения удобства и безопасности можно добавить:

  • Веб-интерфейс: Используйте Flask для создания веб-приложения с защитой от CSRF-атак.

  • Аутентификация: Добавьте авторизацию пользователей для доступа к скрипту.

  • Мониторинг: Настройте оповещения о сбоях API или превышении лимитов.

Пример интеграции с Flask:

from flask import Flask, request, jsonify

app = Flask(__name__)

@app.route("/convert", methods=["POST"])
def convert():
    try:
        data = request.json
        amount = float(data["amount"])
        from_currency = data["from_currency"].upper()
        to_currency = data["to_currency"].upper()
        
        api_key = load_api_key()
        rates = get_exchange_rates(api_key)
        
        if not rates:
            return jsonify({"error": "Не удалось получить курсы валют"}), 500
        
        result = convert_currency(amount, from_currency, to_currency, rates)
        log_conversion(amount, from_currency, to_currency, result)
        return jsonify({"result": result, "to_currency": to_currency})
    except Exception as e:
        return jsonify({"error": str(e)}), 400

if __name__ == "__main__":
    app.run(debug=False)

Этот код создает API-эндпоинт для конвертации валют с базовой обработкой ошибок.

Заключение

Разработка безопасного скрипта обменника валют требует внимательного подхода к управлению API-ключами, валидации данных, обработке ошибок и защите от потенциальных угроз. Скрипт обменника валют, представленный в этой статье, демонстрирует, как интегрировать API, безопасно обрабатывать пользовательский ввод и минимизировать риски. Вы можете расширить его, добавив веб-интерфейс, шифрование или дополнительные проверки, чтобы адаптировать под свои нужды. Следуя этим рекомендациям, вы создадите надежное и безопасное решение, готовое к реальному использованию.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *