API 安全手册 需要做哪些来保护API

程序设计接口是现代应用程序系统的必要工具，可通过改进连接性和启用可组合架构来支持数字业务。它们用于支持跨网络、移动和其它渠道的现代用户体验。它们还支持内部流程、客户和合作伙伴的集成和自动化。

许多组织保护 API 流量的方式与保护其遗留应用程序的方式相同。但是，通用应用程序安全控制不足以保护 API 事务。安全和风险管理领导者必须与应用技术专家合作，建立并完善他们的 API 安全计划，以应对这种日益增长的威胁形势。

可见性：环境中存在哪些 API？

许多 API 泄露事件都有一个共同点：被泄露的组织直到为时已晚才知道他们的 API 不安全。API 安全的第一步是发现组织从第三方交付或使用的 API。

访问控制：谁在访问 API，有什么访问权限？

访问控制是 API 安全的重要组成部分。它包含身份验证（验证主体身份的过程）和授权（确定主体是否有权访问特定资源的过程）。

访问控制功能中的漏洞通常是针对 API 的最常见攻击点，会导致数据泄露、丢失和操纵。Web 应用程序历来使用基本身份验证（用户名和密码）来允许用户访问。当组织开始部署 API 时，通常开发人员会选择继承这种特殊的机制。

调解器：API 受调解器（如企业或内部 API 网关）以及更灵活的调解器（如部署在 API 附近的编车）的保护。评估调解器的身份能力可确保 API 访问策略包括调解器中的正确集成和执行。它还使组织能够评估访问管理工具对所用中介的支持。评估调解器的身份能力还允许用户查看和修改他们的应用程序，以及在他们的系统崩溃时保护他们的数据。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!