API的五大身份验证安全隐患 未经身份验证的API 永远不要部署未经验证的API,无论是内部的还是面向公众的。使用非空值身份验证令牌的API 始终为内部或面向公众的API分配令牌值。API经过身份验证,但未经过授权 始终实施强授权机制来补充强身份验证。API令牌扩散 使用API规范框架强制执行一致性,并使用基于功能的测试计划超越基本的渗透测试。带有不正确授权逻辑的API 使用OAuth Scopes或其他工具来创建和实施计划良好的授权后端。