本书深入探讨了API安全,从基础到实战,涵盖了加密、认证、授权、注入攻击防御等关键话题。通过实例展示了如何在API开发中防止SQL注入、XSS攻击,以及如何加固API,包括使用速率限制、身份验证、加密和访问控制。此外,还讨论了基于令牌的身份验证,如JWT和OAuth2,以及物联网API和Kubernetes中微服务API的安全策略。
一提起“信息安全”,不管是业内专家还是所谓的“吃瓜群众”,多半都会在脑海中浮现“网络安全”“Web安全”“软件安全”“数据安全”等常见的词汇。市面上绝大多数安全类书籍也多集中在这几个领域,而从API视角阐释信息安全的资料却凤毛麟角,也很少有人从软件系统之间“接口”的角度来分析和挖掘安全漏洞。
API最初的应用基本都在本地系统之上。时至今日,API已经成为各类软件系统(尤其是大型Web系统)集成的一种重要技术手段。随着Web API的不断普及,相应的协议(如SOAP)以及框架规范(REST)也随之产生。这些协议或框架规范通常会被设计为使用API来接收或发送消息,确保不同系统之间或不同编程语言之间能够共享信息和数据。随着前端设备的层出不穷(如手机、平板电脑、台式电脑等),必须有一种统一的机制,方便不同的前端设备与后端进行通信。这就使API架构流行起来,由此产生的安全问题也日益凸显。
真正拿到本书的英文版时,我们很好奇作者能够从什么样的角度来诠释API安全,因为在我们看来,API安全的覆盖面实在太广,涉及加密、认证、授权、注入攻击、跨站请求伪造,等等。市面上能够涵盖这些内容的书籍资料一般多是“点到为止”,很少能做到“深入浅出”。
扫码了解 ↑
本书的作者凭借自身丰富的实战经验,让我们能够身临其境地看到当前Web系统中API技术所面临的弱点和所需要防御的方方面面。并且,随着阅读的深入,越来越多引人入胜的内容呈现在我们面前,详尽的问题阐述,各种安全威胁的介绍和防范方法,特别是针对当前最新的防御体系的深入剖析,都令我们获益匪浅。
目录
上拉下滑查看目录 ↓
目 录
译者序
前言
致谢
关于本书
关于作者
第一部分 基础
第1章 什么是API安全 2
1.1 打个比方:参加驾照考试 3
1.2 什么是API 4
1.3 API安全上下文 6
1.4 API安全要素 10
1.4.1 资产 11
1.4.2 安全目标 11
1.4.3 环境与威胁模型 13
1.5 安全机制 15
1.5.1 加密
最低0.47元/天 解锁文章
3104
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
