浅谈API安全

已于 2023-06-24 01:15:27 修改
阅读量1k 收藏 3
点赞数
文章标签: 安全 网络
于 2023-06-24 01:14:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78540048/article/details/131356229
版权

前言

API 有很多分类,本文要讲述的甚至整个行业里面探讨的 API 安全 ,其实指的都是 Web 应用的 API,也就是前后端分离后的数据交互接口或者应用与第三方的数据交互接口。API 是现代 Web 编程主要的数据交互方式,API 安全已成绝大多数企业的严重问题,只有极少企业完全有能力解决 API 安全性问题。随着越来越多的企业通过 api 访问数据和服务,这些 API 成为数据盗窃和软件攻击的诱人目标!API 正在成为大多数现代应用程序的支柱,因此它们的安全性是现代信息安全的核心。保障 API 的安全性已成为当下 WEB 编程的首要目标。

对于企业而言,在生产经营中应提高数据安全意识,通过技术手段加强安全防范,定期修补安全漏洞,加强安全管理。对于公民个人而言,应当警惕个人信息数据泄露,同时自觉履行数据安全保护义务,不得窃取或以其他非法方式获取、使用数据,否则将触及法律红线。

在这里插入图片描述

什么是 API

API一般指应用程序编程接口。 API主要目的是提供应用程序与开发人员以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。是一种为客户提供服务的方式。

几种主流 API 架构

各种针对交互的 api,本质上相当于是应用层的一个前后端数据交互的协议

REST API

REST 是一种风格
REST 的作用是将我们查询(view),创建(create),编辑(edit)和删除(delete)直接映射到 HTTP 中已实现的GET,POST,PUT 和 DELETE方法
比如定义一个有关书的接口:demo.com/books ,然后使用不同的 http 方法来定义行为。GET 查询,POST 创建,PUT 编辑,DELETE 删除。这样改动之后 API 变得统一了,我们只需要改变请求方式就可以完成相关的操作,这样大大简化了我们接口的理解难度,变得易于调用。这就是 REST 风格的意义!

json 由于其轻量、易读的优点已经发展成了一种最常用的数据请求和响应格式。

GraphQL

一种用于 API 的查询语言

RPC

调用另一个系统的函数

SOAP

是一个 XML 格式的、高度标准化的网络通讯协议

API 安全

本文以 HTTP 接口为例讲解 API 安全

在这里插入图片描述

API 安全的目标

  • 机密性:确保信息只被预期的读者访问
  • 完整性:防止未授权的创建,修改和删除
  • 可用性:当合法用户需要访问 API 时,API 总是可用的
  • 可追溯:谁什么时间做了什么全都是要记录日志
    API 安全计划的最终目标:零信任

常见的 API 风险

1.安全风险:包括跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、SQL 注入等欺诈行为 2.性能风险:API 接口的性能可能受到访问量的影响,如果访问量过大,可能导致 API 接口响应变慢或者崩溃。甚至大流量本身就是由 DDOS 拒绝服务攻击引起的 3.数据风险:数据删除、数据丢失、数据损坏、数据篡改、意外修改、数据泄露 4.业务风险:越权,抵赖(否认做过的行为)

安全机制

针对各种常见风险,都有对应的安全机制,认证机制、授权机制、加密机制、日志机制、流量控制机制

认证机制

API 认证机制是保护 API 的首要方式,其目的是确定 API 请求的来源和合法性。常见的认证机制包括基于令牌(Token)的认证、OAuth 认证等。

授权机制:访问控制

访问控制机制是限制 API 访问权限的一种方式,它可以确保 API 的数据仅被授权的用户或应用程序访问。常见的访问控制机制包括角色基础的访问控制(RBAC)、属性基础的访问控制(ABAC)等。

加密机制

加密机制是保护 API 数据传输和存储安全的一种方式,它可以保护 API 数据在传输过程中不被窃取或篡改。常见的加密机制包括 HTTPS 协议、TLS 协议等。

监控与日志机制

监控与日志机制是检测和记录 API 操作的一种方式,它可以帮助开发者发现和解决 API 存在的安全漏洞或攻击行为。常见的监控与日志机制包括 API 网关、日志分析工具等。

流量控制机制

API 在面临大量合法或非合法请求时可能会耗尽 API 资源和带宽,从而使 API 系统瘫痪或无法正常工作。采用有效的 API 限流和防御机制,保证合法访问的可用性和避免非法的访问。

结合上面的图,我们可以更好的理解安全机制,最右面的是我们提供的 API,最左边是用户,在这之间就需要我们加入安全机制。

  • 首先加密是贯穿在整个安全机制流程中的;
  • 然后是流控,可以把一些不必要的请求拦截掉,不用走后面的流程;
  • 接下来是认证,来确保用户的身份;
  • 然后是日志,将用户做了什么记录下来;
  • 最后是授权,来决定请求是否可以被执行。

这些安全机制可以有效地保护 API 的安全,确保 API 的数据和功能不受到未经授权的访问和攻击。

常见攻击手段

最低0.47元/天 解锁文章
2301_78540048
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈web api安全
zsibiao的博客
09-20 391
最近,项目迭代过程中,发现了公司的短信服务被用户恶意攻击的案例。我司的业务在国外,短信服务商每条短信的费用略有点小贵,抛砖引玉聊一聊API安全方面的感想。 很多网站都存在类似的问题,接口请求会被竞争对手、黑客等有目的的去攻击。作为系统的后端设计者,其实是需要考虑一些基础的防御措施: 令牌验证,避免非系统用户的随意攻击,即使遇到攻击也能追查到用户的身份 签名校验,前后端交互约定好签名规则(日期参数、参数顺序、加密传输等),提高恶意攻击的技术成本(时间戳有过期设定,比如10秒) 防直接调用,鉴定是否是浏览器行
API接口安全问题浅析
Fly_鹏程万里
02-22 1214
随着互联网的快速发展,应用程序接口(API)成为了不同系统和服务之间进行数据交换和通信的重要方式,然而API接口的广泛使用也引发了一系列的安全问题,在当今数字化时代,API接口安全问题的重要性不容忽视,恶意攻击者利用漏洞和不当的API实施,可能导致数据泄露、身份验证问题以及系统的完整性和可用性受到威胁,本文将探讨API接口安全问题的重要性并介绍常见的安全威胁和挑战,还将探讨如何保护API接口免受这些威胁并介绍一些最佳实践和安全措施。
API接口安全风险大盘点:常见漏洞一览_接口安全风险有哪些
2401_84968504的博客
05-16 1039
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
浅谈API安全的应用
qq_53058639的博客
02-09 229
1、无效的对象级别授权API倾向于暴露那些处理对象识别的端点,造成了广泛的攻击面访问控制问题。在每个能够访问用户输入数据的功能中,都应考虑对象级别授权检查。2、损坏的用户身份验证身份验证机制通常实施不正确,从而使攻击者可以破坏身份验证令牌或利用实施缺陷来临时或永久地假冒其他用户的身份。损害系统识别客户端/用户的能力会整体损害API安全性。3、过度的数据泄露开发人员倾向于公开所有对象属性而不考虑其个体数据敏感性,依靠客户端执行数据过滤并显示。4、缺乏资源和速率限制。
途牛原创|浅谈API安全设计
tuniumobile的博客
03-03 1028
途牛原创|浅谈API安全设计 2016-03-03 途牛无线中心 衡俊 一、简述 安全是恒久的话题,如果不注意防范,会带来很严重的后果。比如: 1.接口被大规模调用消耗系统资源,影响系统的正常访问,甚至系统瘫痪 2. 数据泄露 3.伪造(篡改)数据,制造垃圾数据 4.App被仿制… 那么我们设计API时,就要保证RESTful API安全性,主要包括三大方面: a) 对受限资源的登录授权 b) 对请求做身份认证,并且防止篡改,重放攻击 c) 对敏感的数据做加密
浅谈REST API
热门推荐
ChampaignWolf的专栏
11-15 1万+
浅谈REST API   说明: 本文部分内容根据其它网络文章编写,如有版权问题请及时通知。   背景       发迹于互联网的REST,在国内国外混得可谓是风生水起,如今又进入电信行业的视野,连TMF都将其作为战略项目Open Digital的一部分。     一种思维方式影响了软件行业的发展。REST软件架构是当今世界上最成功的互联网的超媒体分布式系统。它让人们真正理解我们...
浅谈 API 网关
API
08-05 483
前言 在物联网中,像监控、传感器等设备,需要将收集到的数据和信息进行汇总时,我们就需要一个 API 网关来接收从千百个终端发出的请求。 API 网关能实现 对外统一接口,对内进行负载均衡 的功能。极大地方便了 API 系统的开发与维护。今天我们来浅谈一下 API 网关的结构和功能。 什么是 API 网关? API 网关 即 API Gateway ,是一个能够实现高性能 HTTP 转发、多租户管理、API 访问权限控制等目的的微服务网关。 拥有强大的自定义插件系统可以自行扩展,提供友好的图.
浅谈API网关
大袤宏图
02-01 1097
随着微服务架构的流行,API网关逐渐进入人们的视野,并且越来越受到欢迎。在微服务体系架构中,我们将应用程序划分为多个低耦合的服务。每个服务都具有特定的功能,并交给不同的团队维护。尽管微服务具有许多优势,比如程序易于开发、维护和部署,将大团队拆分成小团队利于敏捷实践落地等,但是也带来一些问题,最为直观的就是由于接口过于繁杂,客户端难以快速、安全地访问到所需的信息。那么如何解决呢?这种情况下,我们就需要本文所分享的API网关(API Gataway)
浅谈API接口中的安全
qq_42011355的博客
10-14 1843
前言 在我们平时进行前后端分离项目开发和调用外部功能时,都会使用API接口形式与服务器进行数据通信,而对于网页或者app,只要通过抓包就可以清楚的知道这个请求获取到的数据,数据充满着被盗用、伪造的风险,所以如何保证API调用时数据的安全性是个非常重要的问题。 通常的解决方案有: 1、通信使用https 2、请求签名,防止参数被篡改 3、时间戳超时机制 4、防重放,防止接口被第二次请求,防采集 一、通信使用HTTPS 为了解决在使用HTTP时出现这种情况:用户注册的请求在到达服务器之前,就已经被人截获了,用户
从OWASP API Security TOP 10谈API安全
qq_33163046的博客
04-17 1561
API安全是个持续的过程,要求开发者、操作和安全团队协作确保API面临的风险得到恰当管理。遵循OWASP API Security Top 10是创建一个更安全API生态系统的基础。在构建API时,要确保考虑到这些主要的安全问题,并在API的整个生命周期中持续关注安全保障。参考:OWASP API Security TOP 10中文项目 2023OWASP API Security TOP 10中文项目 — OWASP-CHINA。
C#权限管理和设计浅谈
09-05
同时,它们往往提供了丰富的API和配置选项,以便开发者根据实际需求定制权限控制。 总之,C#权限管理设计是一个综合性的任务,需要结合业务场景、安全性需求以及系统扩展性来考虑。通过学习和研究成熟的解决方案,...
浅谈Vue3 Composition API如何替换Vue Mixins
10-15
总结来说,Vue3 Composition API 提供了更灵活、更安全的代码复用方式,它通过明确的依赖导入和局部作用域解决了 Mixins 的问题,提高了代码的可读性和可维护性。在实践中,开发者应该积极考虑采用 Composition API ...
浅谈java调用Restful API接口的方式
08-28
"Java调用Restful API接口的方式" Java调用Restful API接口是Java开发中非常重要的一部分,了解Java调用Restful API接口的方式可以帮助开发者更好地理解和使用相关技术。本文将详细介绍Java调用Restful API接口的...
浅谈使用 PHP 进行手机 APP 开发(API 接口开发)
12-19
【标题】: 使用 PHP 进行手机APP开发(API接口开发)详解 ... 【标签】: api, php, 手机, 接口, 软件 【正文】: ...它不仅免费开源,而且...通过熟练掌握PHP和API开发技巧,可以高效地构建出稳定、安全的移动应用后端。
浅谈Web应用的网络安全.pdf
09-20
浅谈Web应用的网络安全.pdf 本文对Web应用的网络安全进行了详细的讨论,从Web技术的发展、管理到安全方面都进行了阐述。文章首先介绍了Web技术在商业活动上的使用和普及,然后提到了Web应用系统的漏洞问题,接着...
微软蓝屏事件引发对构建更加稳固和安全网络环境的思考
lupai的博客
07-24 413
综上所述,构建更加稳固和安全网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1053
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
大坝安全监测设备有哪些主要功能?
最新发布
yyth13276363312的博客
07-24 289
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值