互联网安全—API 安全概述

最新推荐文章于 2024-06-23 09:45:00 发布
最新推荐文章于 2024-06-23 09:45:00 发布
阅读量698 收藏 1
点赞数
分类专栏: 互联网安全 文章标签: 互联网安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a_gui_code/article/details/103440975
版权

API 安全

申明:本笔记引用了https://coding.imooc.com/class/379.html 的一些内容,并结合自己的理解与思考,欢迎指正。

1. 概念

1.1 什么是api安全

Api是系统提供服务的接口,外部(web、mobile、server等)请求api,经过一些业务逻辑后,返回响应。api安全主要涉及网络安全、应用安全、信息安全。

1.1.1 API 安全目标

API安全目标:机密性、完整性、可用性;

1.1.2 API 风险

API风险:STRIDE,欺骗、干预(不希望被修改的数据、消息或设置被改掉)、否认、信息泄露、拒绝服务、越权(做了你不希望他能做的事)。

1.1.3 风险与安全机制对应关系
  • 认证(欺骗):确保用户与客户端真的是他们自己。
  • 授权(信息泄露/干预/越权):确保每个针对API的访问都是经过授权的。
  • 审计(否认):确保所有操作都被记录,以便追溯和监控;
  • 流控(拒绝服务):防止用户请求淹没API;
  • 加密(信息泄露):确保出入API的数据都是私密的。
1.1.4 安全机制与流程

用户发起一个请求,会经过“流控”,拒绝多余的请求,接着进行“认证”,确保用户是他声明的身份,接着“审计”,记录谁什么时候做了什么,接着“授权”,决定一个请求是否可以被执行,最后进入业务逻辑。其中还有”加密“是在请求开始到业务逻辑就贯穿前后。

加密
流控-> 认证 -> 审计-> 授权-> 业务逻辑

lietobrain
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是API安全
JosephThatwho的博客
02-20 5108
章节概述 什么是API 导致API安全或不安全的因素 定义安全的目标 识别威胁和漏洞 达到安全目标的机制 应用程序接口(APIs)随处可见。当你打开智能手机或平板,浏览上面安装的应用时,差不多这些应用都会连接一个或多个远程API,通过这些接口下载最新的内容和信息、轮询通知、上传你发送的内容或者执行你要求的操作。 如果你在浏览器中使用开发工具打开你最喜欢的网页,那么你一定能看到为了渲染一张为你定制的网页,浏览器在后台调用了很多API。而在服务器内,为了响应浏览器调用的API,可能会导致许多微服务调
浅谈API安全
2301_78540048的博客
06-24 1080
API安全
什么是API安全性以及为什么它很重要?
m0_66268916的博客
03-17 970
请求的容忍度超过了目标的响应能力,导致合法用户无法访问。例子包括操作系统的API,用于访问文件系统和管理进程,或Web服务的API,用于实现网站功能的交互。为了保持基于 API安全和可信度,必须改进应对的思维和工具,以应对公司现在面临的各种 API 威胁——以及 API 威胁形势的快速发展。保护API安全性可以防止未经授权的访问,确保数据的完整性和保密性,以及防止恶意软件和其他安全威胁的攻击。配置了不正确的身份验证机制的 API 很容易受到这种攻击,并使黑客能够劫持用户的身份和 API 的访问控制。
API安全
最新发布
m0_61869253的博客
06-23 614
网络安全,信息(数据)安全,应用安全;机密性完整性可靠性。
API安全
Anzexi123的博客
02-12 2426
API安全
网络安全--安全攻防概述
热门推荐
weixin_43774199的博客
08-18 1万+
目录 一、安全攻防简介 1.1安全攻防介绍 1.2网络安全概述 1.3网络攻击: 1.4安全防御 二、信息安全发展历程 2.1信息安全发展简介 2.2信息安全发展历程 三、信息安全职业发展方向 3.1信息安全职业前景 3.2信息安全职业发展方向 课程目标:这节课我们来介绍安全攻防以及信息安全的职业发展历程,去了解什么是安全攻防以及安全攻防的基本概念,攻击和防御的由来。 任务目标:通过对这节课的学习,能够对安全攻防有进一步的了解和认识,掌握安全攻防基本概念,了解信息安全的发展历程和职
API安全(不错的入门资源).pdf
01-12
**API安全概述** API(应用程序编程接口)是现代互联网的核心组成部分,它允许不同的软件系统之间进行无缝通信。自从Salesforce.com在2000年创建了第一个API以来,API已经从简单的系统间通信方式发展成为驱动互联网...
电信和互联网数据安全标准汇总2023.zip
02-04
9. **电信网和互联网API数据安全技术要求和测试方法**:API是数据交换的关键接口,其安全直接影响到整个系统。文件规定了API安全设计、授权和测试标准。 10. **电信网和互联网数据水印技术要求与测试方法**:数据...
web安全之OWASP技术
10-31
#### 一、Web安全风险及OWASP Top Ten概述 - **Web安全**:指的是保障互联网应用的安全性,包括网站、Web服务和相关的数据传输过程等,防止各种形式的安全威胁。 - **OWASP Top Ten**:Open Web Application ...
如何保证API接口的安全
APItesterCris的博客
06-23 2858
将“API接口中的token、timestamp、nonce、业务参数"进行MD5算法加密,加密后的数据就是本次请求的签名signature,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。用户认证、授权:接口的调用者必须提供有效的身份认证信息,包括用户名、密码、密钥等,以保证接口的调用者的身份有效性。API接口调用时,对每个请求参数进行签名,服务器端也同样进行签名,使用比对的方式进行验证,以防止请求参数被篡改。
如何保证API安全
Jernnifer_mao的博客
03-06 1720
最近知识星球中有位小伙伴问了我一个问题:如何保证接口的安全性?根据我多年的工作经验,这篇文章从11个方面给大家介绍一下保证接口安全的一些小技巧,希望对你会有所帮助。
API数据安全知多少【知识篇】
zhangge3663的博客
06-02 916
一、近年来安全态势 近年来,国内外已发生多起由于API 漏洞被恶意攻击或安全管理疏漏导致的数据安全事件,对相关企业和用户权益造成严重损害,逐渐引起各方关注。 分类 年份 公司 详情 国外 2018/2019 Facebook 国外安全人员发现超过2.67 亿条Facebook ID、电话号码和姓名等信息被储存在某公开数据库中。有研究显示,该数据库
API接口安全思考和最佳实践
学以致用 知行合一
05-16 3808
应用程序编程接口 (API) 允许软件应用程序相互交互。它是现代软件模式的基本组成部分,例如微服务架构。 API 安全是保护 API 免受攻击的过程。由于 API 非常常用,而且它们可以访问敏感的软件功能和数据,因此它们正成为攻击者的主要目标。 API 安全性是现代 Web 应用程序安全性的关键组成部分。API 可能存在身份验证和授权损坏、缺乏速率限制和代码注入等漏洞。组织必须定期测试 API 以识别漏洞,并使用安全最佳实践解决这些漏洞。本文介绍了 API 安全测试的几......
浅谈API接口中的安全
qq_42011355的博客
10-14 1843
前言 在我们平时进行前后端分离项目开发和调用外部功能时,都会使用API接口形式与服务器进行数据通信,而对于网页或者app,只要通过抓包就可以清楚的知道这个请求获取到的数据,数据充满着被盗用、伪造的风险,所以如何保证API调用时数据的安全性是个非常重要的问题。 通常的解决方案有: 1、通信使用https 2、请求签名,防止参数被篡改 3、时间戳超时机制 4、防重放,防止接口被第二次请求,防采集 一、通信使用HTTPS 为了解决在使用HTTP时出现这种情况:用户注册的请求在到达服务器之前,就已经被人截获了,用户
API接口安全问题浅析
Fly_鹏程万里
02-22 1214
随着互联网的快速发展,应用程序接口(API)成为了不同系统和服务之间进行数据交换和通信的重要方式,然而API接口的广泛使用也引发了一系列的安全问题,在当今数字化时代,API接口安全问题的重要性不容忽视,恶意攻击者利用漏洞和不当的API实施,可能导致数据泄露、身份验证问题以及系统的完整性和可用性受到威胁,本文将探讨API接口安全问题的重要性并介绍常见的安全威胁和挑战,还将探讨如何保护API接口免受这些威胁并介绍一些最佳实践和安全措施。
API服务:互联网时代的接口经济
API趋势概述显示,自2000年以来,API的数量持续增长,软件行业的快速发展推动了这一趋势。随着互联网的普及,模块化的API服务逐渐成为应用开发的新选择,减少了开发成本和周期。此外,随着物联网(IoT)的发展,预计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值