@邪恶贝壳
2年前 提问
1个回答

API安全设计5A原则包括哪些

Simon
2年前

API安全设计5A原则包括以下这些原则:

  • 身份认证原则(Authentication):身份认证解决“你是谁”的问题,通过身份认证明确是谁在与API服务进行通信,API服务是否允许它的请求。

  • 授权原则(Authorization):授权通常发生在身份认证之后,解决“你能访问什么”的问题。授权指赋予某个客户端调用某些API的权限。

  • 访问控制原则(Access Control):访问控制通常发生在授权之后,是指对授权的客户端访问时正确性的检验。即使某个角色的权限设置正确,但访问控制错误,则会出现越权问题。

  • 可审计性原则(Auditable):记录接口调用的关键信息,以便通过审计手段及时发现问题,并在发生问题后通过审计日志溯源,找到问题的发生点。

  • 资产保护原则(Asset Protection):这里包括两方面,一方面是对API自身的保护,如限速、限流、防止恶意调用等;另一方面指对API传输的数据的保护,如数据中的敏感信息(账户、电话、身份证号等)。