@
2年前 提问
1个回答

保障应用程序编程接口安全的技术有哪些

X0_0X
2年前

保障应用程序编程接口安全的技术有以下这些:

  • API安全技术栈:当用户通过浏览器或移动终端调用API访问后端服务时,除了通信链路使用HTTPS之外,由前端向后端依次通过速率控制、身份鉴别、授权访问控制、消息保护、审计监控等安全机制。虽然与实际应用中各个安全机制杂糅在一起使用的情况不相符,但基本能表述清楚其中涉及的安全机制,把这些安全机制对应到具体的安全技术上,统称为API安全技术栈。

  • 身份认证技术:身份认证是API安全的基础,在互联网上,网络环境的复杂多样导致API的存在状态也是多种多样的。要确保API使用的可信可控,使用身份认证技术是最简单、高效的选择。

  • 授权与访问控制技术:身份认证技术是解决API使用者的身份问题,授权是解决基于当前的API使用者身份下,可以拥有什么样的权限,访问哪些资源。与传统的Web应用程序不同,API的授权可能发生在单一的应用程序中,但更多的可能发生在多个相互独立的应用程序之间。

  • 消息保护技术:息保护是指对API通信过程中的传输链路及传输的消息对象进行保护,从TCP/IP四层通信模型上看,API主要表现在应用层,其他各层与TCP/IP消息特征并无个性化差异。

  • 日志审计技术:日志审计在API技术中通常是结合已有的日志服务一起使用,很少单独去构建日志审计服务,API服务仅作为日志输入的一个端点,为审计服务提供日志数据来源。

  • 威胁防护技术:威胁防护是整个API安全中很重要的一环,在大多数应用架构中,防护技术通常选择前置WAF来接入整个链路,但目前市场上的WAF产品因API技术的特殊性对API安全的防护能力仍显不足。