什么是API安全

章节概述

• 什么是API
• 导致API安全或不安全的因素
• 定义安全的目标
• 识别威胁和漏洞
• 达到安全目标的机制

应用程序接口（API）随处可见。当你打开智能手机或平板，浏览上面安装的应用时，差不多这些应用都会连接一个或多个远程API，通过这些接口下载最新的内容和信息、轮询通知、上传你发送的内容或者执行你要求的操作。

如果你在浏览器中使用开发工具打开你最喜欢的网页，那么你一定能看到为了渲染一张为你定制的网页，浏览器在后台调用了很多API。而在服务器内，为了响应浏览器调用的API，可能会导致许多微服务调用内部的API来相互通信。

甚至更多时候，你在家里的日常生活也会使用许多API。从微信视频通话到使用冰箱、电表和灯泡，都是在通过API使用。由于云端API和设备API的快速增加，也促进了物联网在消费品业和工业的快速落地。

虽然API的广泛使用让各种应用更加精巧地改善我们的生产和生活，但是也会导致风险的提升。随着我们在工作或娱乐中更加依赖通过API来处理关键事务，我们也更容易因为API遭受攻击而被影响。应用API场景越多，被攻击的可能性就越高。API因为使用方便而被开发者青睐，也因此容易被怀有恶意的人攻击。另外，一些新出台的隐私与数据保护法规，比如欧盟的GDRR，对公司保护用户数据提出了法律规范。如果公司被发现对数据没有充分的保护，将面临惩罚。

GRDD

General Data Protection Regulation/通用数据保护条例（GDPR），2018年生效，是欧盟法律的重要组成部分。该法律的主要目的是通过技术和祖师手段，保证欧盟公民的个人数据不会滥用，并受到充分的保护。其中就包括本书涉及的安全控制。还包括隐私技术，比如姓名和其他个人信息的化名（本书中不涉及），以及要求在收集或共享个人数据之前需要用户的明确许可。该法律要求公司发生数据泄漏后72小时内必须上报，范围该法律会导致最高两千万欧元（准确地说是两千三百六十万欧元）或者公司全球年营收4%的罚款。其他司法管辖区也在效仿欧盟，出台类似的隐私和数据保护立法。

本书主要关于如何在上述威胁中保护你的API，让你放心的对外提供这些API。

1.1 举个栗子：驾驶考试

我们以实际场景——驾照考试来类比API安全。尽管这个故事开始的时候会让人觉得和API或者安全毫无关系，但最终你会发现这个故事各方面和本章将要讲述概念都有相似之处。

假设你今天5点下班，但没有像平常那样回去照顾你养的是肉植物然后摊在电视前，而是去了别的地方。今天要参加驾驶考试。

你冲出办公室，打算穿过公园去搭公交到考试中心。当你路过热狗摊前排队的人群时，看到了你的老朋友Alice在溜她的羊驼，Horatio。

你高兴的招呼她：“Alice，18世纪巴黎里的活动好玩吗？”

“好玩的！”她回答道，“推荐你去体验下”。

她比划了个全球通用的手势，“到时候给我打电话”。你们就先去忙各自的事儿了。

你被夹在拥挤的公交车里到了驾考中心，心里一直抱怨“要是我能开车，要遭这个罪？！”。在驾考中心等了一会，监考员出来了，向你简单的介绍下自己，并要求查验你的准考证拍摄准考证照片的时候，你还留着自以为很帅实际很丑的发型，监考员怔了半晌才认出来照片上确实是你，最终同意你参加考试。

相关学习  大部分API都需要识别和它们交互的客户的身份。和场景中一样，识别客户身份的方式有很多。基于以往的交互历史，可以建立长期的信任关系，就好象你和Alice那样；而有些情况则需要提供更加正式的身份证明，比如展示准考证，因为准考证是由可信任的机构颁发的，而你长得和照片上差不多，所以监考员信任它。

有些API只需要低等级的身份证明就可以操作，有的需要高等级的身份证明。

最终，你没考过，所以你只能搭火车回家。你买了一张到你住的街区的二等坐票，但感觉坐着不爽，所以想溜进一等座车厢。结果被乘务员拦住要看你的车票。于是你又顺从的溜回自己的座位，假装带上了耳机。

当你回到家，发现自己电话上的留言指示灯在闪。它要是不闪，你都不知道他是个电话。你听了留言，