什么事API
API的安全要素有哪些
API的安全基本机制
API安全的目标:CIA
机密性(Confientiality):确保信息只被预期的读者访问
完成性(Integrity):防止未授权的创建、修改和删除
可用性(Availability):当用户访问API时,API总是可用的
常见的API风险:STRIDE
Spopfing:欺骗。伪装成某人
Tampering:干预。将不希望被修改的数据、消息或设置改掉
Repudiation:否认。拒绝承认做过的事。
Information disclosure:信息泄漏。将你希望保密的信息泄漏出来。
Denial of service:拒绝服务。防止用户访问信息和服务。
Elevation of privilege:越权。做了你不希望他能做的事。
风险与安全认证的对应关系
认证:确保你的用户与客户端真的是它们自己
授权:确保每个经过API的访问都是经过授权的
审计:确保所有的操作都被记录,以便追溯和监控。
流控:防止用户请求淹没你的API。
加密:确保出入API的数据是私密的。