API安全性至关重要,尤其在云原生、微服务等技术广泛应用的背景下。API成为了攻击的主要目标。OpenAPI规范提供了定义API行为的方式,用于防止路径遍历、影子端点等攻击。通过详细描述路径、有效载荷、认证授权和传输,可以增强API安全性。OpenAPI还支持安全方案定义,鼓励使用HTTPS防止中间人攻击。积极的安全模式,即基于定义的强制执行,是API安全的关键。
API安全性是网络安全的重中之重。诸如云原生应用程序,无服务器,微服务,单页面应用程序以及移动和物联网设备等新兴趋势和技术已导致API的激增。应用程序组件不再是在单个进程中在一台机器上彼此通信的内部对象,而是通过网络相互通信的API。 这显着增加了攻击面。此外,通过发现和攻击后端API,攻击者通常可以绕过前端控件,直接访问敏感数据和关键内部组件。这导致了API攻击的激增。每周,新闻中都会报道新的API漏洞。OWASP现在有专门针对API的十大漏洞的单独列表。而Gartner估计,到2022,API都将成为头号攻击向量。 为了解决这个问题,公司越来越多地转向积极安全 模式。他们定义了预期的API行为,确保定义足够严格和详细,以使其有意义,测试实现以符合该定义,然后在使用API期间强制执行该定义。API预期范围之外的任何调用以及API预期返回范围之外的任何响应都将被自动拒绝。 
与传统应用程序不同,API实际上具有一种在标准的机器可读模型中定义其预期输入和输出的方法。具体来说,对于当今最流行的API类型(REST API),此合同格式为OpenAPI。它最初是为文档目的而创建的Swagger标准,后来被Linux基金会下的OpenAPI Initiative采纳。当今市场上的大多数开发和API工具要么本机使用OpenAPI,要么以该格式支持导入和导出。 让我们看一下OpenAPI规范的特定部分及其在安全性中的作用。 注意: 我们将在此处的示例中使用YAML格式和OpenAPI版本3,但是JSON与该格式一样好,并且可以在版本2(也称为Swagger)中找到类似的方式来指定API行为。
路径
API路径是A
最低0.47元/天 解锁文章
624
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
