本章讲解,在不考虑微服务,只考虑一个简单的API ,如何保证这个API的安全?
三个问题:
- 1,什么是API ?
- 2,API安全的要素有哪些?
- 3,API安全基本机制
一、什么是API
百度百科:API(Application Programming Interface,应用程序接口)是一些预先定义的函数,或指软件系统不同组成部分衔接的约定。 [1] 目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问原码,或理解内部工作机制的细节。
通俗的讲:API就是你为客服提供服务的一种方式。
二,API安全包含哪些方面
API安全主要包含3方面内容:
信息安全:信息在整个生命周期里(信息从创建、存储、转换 、备份、销毁),数据是受到保护的,是安全的。
网络安全:数据在通过网络进行传输的时候是安全的,不会被人盗取或篡改,也应该保证在网络上,不会被未授权的访问接触到你的信息。
应用安全:应用程序本身的安全。从设计上要抵挡各种各样的攻击,防范各种风险。
这3个方面综合起来,才可以说你的API是安全的。
三、API风险与应对
四,安全机制图解
绿色部分就是我们要在用户请求到业务逻辑API之间要加入的安全机制。
1,流控(流量控制)在所有安全机制的最前面,通过流控把一些请求挡调之后,后边的处理是不需要做的。
2,认证,在流控后面,确保用户就是他声名的身份。
3,审计,记录谁什么时候做了什么。
4,授权,决定一个请求是否可以被执行。
5,加密,是贯穿在整个请求的过程中的。从用户的设备到服务器的请求, 本身就应该是加密的,如用https;在请求中携带的数据,比如用户密码或者他敏感信息,在整个过程中,也应该都是加密的。