引言:我们在日常的应用开发过程中,应当时刻专注API的安全性,本文向您介绍了当前业界针对API安全的发展趋势。
如今,应用程序编程接口(API)已经变得非常流行了。各个企业的应用开发都深度依赖于它们之间的相互调用,以支持新产品和服务的按时交付。与此同时,随着API绝对数量的增加,在互联网络上传递的数据量也正在呈指数级地增长。不过,这些海量数据中,往往会包括诸如:用户详细信息、电子邮件、以及密码等敏感且隐私的数据。例如:通过使用Facebook的某些API(请参见:https://developers.facebook.com/docs/graph-api/),您完全可以访问到大量用户的照片、位置之类详细的信息。由于网络世界用户之间的不可见性,这些敏感数据很有可能会被非法分子用于多种恶意的用途。因此,我们在日常的应用开发过程中,应当时刻专注API的安全性,通过安全编码等技术手段,构建出安全可靠的程序API。API安全性日益受到关注根据SmartBear最近进行的一项研究显示(该研究发布了API现状报告,请参见:https://smartbear.com/resources/ebooks/the-state-of-api-2019-report/):u 在受访并给予回应的对象中,有41.2%的人认为:安全性是他们的API所面对的最大技术问题,而且是当务之急。他们希望在自己的软件产品中不要出现与API安全性相关的漏洞。u 在被普遍认为需要改善和提高的API相关领域,安全性排名第四。u 有超过40%的API提供者会使用某种工具,来获悉当前API的安全态势。他们希望能够快速且全面地发现潜在的安全漏洞。 目前,API技术已经渗透到了各个行业,乃至各种业务策略的制定环节。其中,最为常见的API当属REST、SOAP、以及ASYNC API。另外,随着物联网的迅速发展,全新的智能化API也在不断地涌现。这些API充当了智能设备和互联网之间的接口作用。那么,到底API是如何做业务趋势以及深度融合发挥作用的呢?通过如下三个方面,我们可窥一斑:u 为了让客户获得更好的服务体验,银行机构正在采用、甚至迁移到API式的敏捷模型中,以实现高效、强适应性的金融安全架构。u 医疗保健行业的从业人员通过各种可用的API,向患者和客户提供集成化的医疗保健服务,并能提高自身产品的互操作性。u 零售商正在使用API为其客户提供更加智能化的电子商务平台,例如:多元化的移动支付应用等。 API安全性的当前状态:当前,在互联网上,每天通过各种API传输的大量数据可谓是鱼龙混杂。有的是一些公众性的普通数据,有的则是需要通过加密的机密性数据。因此,应用开发与维护人员需要和那些看不见的隐形对手进行攻防较量,以确保提前揪出软件产品中的各种漏洞。总的说来,API的安全性隐患主要集中在如下三个方面: i. 授权、认证与审核机制(一般通过访问控制来应对)。
ii. 访问量的负载平衡和速率限制。
iii. 通信和网络中的数据隐私问题(一般通过SSL/TLS来应对)。
