本章講解,在不考慮微服務,只考慮一個簡單的API ,如何保證這個API的安全?
三個問題:
- 1,什么是API ?
- 2,API安全的要素有哪些?
- 3,API安全基本機制
一、什么是API
百度百科:API(Application Programming Interface,應用程序接口)是一些預先定義的函數,或指軟件系統不同組成部分銜接的約定。 [1] 目的是提供應用程序與開發人員基於某軟件或硬件得以訪問一組例程的能力,而又無需訪問原碼,或理解內部工作機制的細節。
通俗的講:API就是你為客服提供服務的一種方式。
二,API安全包含哪些方面
API安全主要包含3方面內容:
信息安全:信息在整個生命周期里(信息從創建、存儲、轉換 、備份、銷毀),數據是受到保護的,是安全的。
網絡安全:數據在通過網絡進行傳輸的時候是安全的,不會被人盜取或篡改,也應該保證在網絡上,不會被未授權的訪問接觸到你的信息。
應用安全:應用程序本身的安全。從設計上要抵擋各種各樣的攻擊,防范各種風險。
這3個方面綜合起來,才可以說你的API是安全的。
三、API風險與應對
四,安全機制圖解
綠色部分就是我們要在用戶請求到業務邏輯API之間要加入的安全機制。
1,流控(流量控制)在所有安全機制的最前面,通過流控把一些請求擋調之后,后邊的處理是不需要做的。
2,認證,在流控后面,確保用戶就是他聲名的身份。
3,審計,記錄誰什么時候做了什么。
4,授權,決定一個請求是否可以被執行。
5,加密,是貫穿在整個請求的過程中的。從用戶的設備到服務器的請求, 本身就應該是加密的,如用https;在請求中攜帶的數據,比如用戶密碼或者他敏感信息,在整個過程中,也應該都是加密的。
+++++++++++++++++++++++++++++分割線+++++++++++++++++++++++++++
小結:
本篇說了
1,什么是AP:API就是你為客服提供服務的一種方式。
2,API安全包含哪些方面:信息安全、網絡安全、應用安全
3,API風險與應對
4,安全機制圖解