## API安全設計原則

論文“信息的保護計算機系統”,由杰羅姆Saltzer和邁克爾·施羅德,提出8個的設計原則,同樣適用于RESTful-API。

  1. 最小權限:實體應該只具有所需的權限集來執行授權的操作,而不再執行。可以根據需要添加權限,并在不再使用時撤消。
  2. 失敗保護默認值:用戶對系統中任何資源的默認訪問級別應被“拒絕”,除非他們已明確授予“許可”。
  3. 機制經濟:設計應盡可能簡單。所有組件接口和它們之間的交互應該足夠簡單易懂。
  4. 完全中介:系統應驗證其所有資源的訪問權限,以確保它們被允許且不應依賴緩存的權限矩陣。如果正在撤消對給定資源的訪問級別,但未在權限矩陣中反映,則會違反安全性。
  5. 開放式設計:該原則強調了以開放的方式構建系統的重要性 – 沒有秘密的機密算法。
  6. 權限分離:授予實體權限不應完全基于單一條件,基于資源類型的條件組合更好。
  7. 最不常見的機制:它涉及在不同組件之間共享狀態的風險。如果可以破壞共享狀態,則可以破壞依賴于它的所有其他組件。
  8. 心理可接受性:它指出安全機制不應使資源更難以訪問,而不是安全機制不存在。簡而言之,安全性不應該使用戶體驗變得更糟。

API描述規范自帶的安全要求

REST API 安全

REST(表述性狀態轉移)API 通常使用 HTTP,并依賴 HTTPS 等機制進行加密、OAuth 進行授權以及 JWT(JSON Web 令牌)進行安全令牌交換。它們的無狀態性質意味著應用程序必須單獨驗證每個請求,從而增強安全性。REST 在選擇安全協議方面的靈活性允許 更容易 但需要仔細配置以防止漏洞。

SOAP API 安全性

另一方面,SOAP(簡單對象訪問協議)API 在其協議中內置了 WS-Security 安全性。SOAP 包括消息完整性、機密性和身份驗證的標準。 SOAP 可以使用安全套接字層 (SSL) 或傳輸層安全性 (TLS) 用于加密. 盡管如此,其消息級安全性確保即使傳輸層受到威脅,消息仍保持安全。SOAP 的嚴格標準使其本質上更安全,但實施和維護也更復雜。

## API安全最佳實踐

REST是一個架構約定,在該約定中,缺少安全特性相關的內容。經過這些年的發展,市場總結了一些REST 的 API安全最佳實踐,有些已經默認實現在網關產品、有些需要開發者自己負責,供大家參考:

1、始終強制使用TLS加密,網關產品可提供
與其他類型的敏感 HTTP 流量一樣,將 TLS 用于 RESTful API 有助于確保對 API 用戶和 API 端點之間的所有通信進行加密。這對于 REST API 安全性和 Web 應用程序安全性同樣重要,因為生成的 HTTP 流量包含敏感的身份驗證詳細信息,如密碼、API 密鑰或令牌。

2、API秘鑰,部分網關產品可提供
API密鑰可用于請求方身份標識,用API秘鑰加密請求內容及響應內容。常用方式有’對稱秘鑰、非對稱秘鑰‘等,避免使用Appcode模式。B2B模式的API網關必用API秘鑰;自有APP到API網關時,常用非對稱秘鑰模式+其它手段來標識‘APP’,避免套殼等風險。

3、身份認證 ,三方產品可提供
認證是指驗證用戶身份的過程,常見的認證方式包括 HTTP Basic 認證、SAML、Token 認證、OAuth 2.0 等。

4、授權模型,三方產品可提供
授權是指驗證用戶是否有訪問特定資源的權限。通過API訪問內部數據和系統的組織必須引入和測試控制來管理這種訪問:何人、內容和時間,以及對數據訪問、創建、更新和刪除的檢查——零信任安全模型。

5、不在URL中包含敏感信息,做URL過濾,開發者負責
一個常見的 REST API 設計缺陷是在 URL 中包含敏感信息,包括用戶憑據、密鑰或令牌。

6、嚴格定義允許的RESTful API請求和響應,開發者負責
— 錯誤處理
— 應始終考慮對輸入進行驗證

— 嚴格管控 REST API 可提供的響應類型。例如,響應應限制為明確允許的內容類型,如 GET、PUT 和 POST

7、重要ID不透明處理,開發者負責
在系統一些敏感功能上,比如,/user/1123 可獲取 id=1123 用戶的信息,為了防止字典遍歷攻擊,可對 id 進行 url62 或者 uuid 處理,這樣處理的 id 是唯一的,并且還是字符安全的。

8、速率限制,網關產品可提供
設計良好的API還可以應用速率限制和地理速度檢查,以及作為地理圍欄和I/O內容驗證和消毒等策略的執行點。

9、實施持續API發現功能,避免產生新的安全漏洞,三方產品可提供
分析API日志以獲取 API 活動的證據,這將有助于確保您的安全團隊了解企業中正在使用的所有 API。

常用身份驗證模型

RESTful應用程序依賴于API生態系統的底層安全性,而不是在REST架構風格中包含安全性。除了通過HTTPS協議保護RESTful API調用之外,還應使用基于會話的身份驗證。目前,大多數RESTful應用程序利用了OAuth 2.0和Open ID Connect(OIDC)協議。

SAML

安全評估標記語言(SAML)最初由大學設計,以允許其他大學的學生訪問圖書館。基于XMLSOAP是原始的聯合身份系統。在2000年代初期,當互聯網瀏覽器成為主要客戶的時候,SAML被推出。

OAuth 2

OAuth 2創建于2006年,是認證協議的開放標準,通過HTTP提供授權工作流程,并授權設備,服務器,應用程序和API以及訪問令牌而不是憑據。 OAuth從FacebookGoogleMicrosoft和Twitter的使用中獲得了普及,他們允許使用他們的帳戶與第三方應用程序或網站共享。

開放ID連接(OIDC)

開放式ID連接(OIDC)擴展了OAuth 2,并將用戶信息(身份層)作為請求的一部分。考慮到SAML的現代版本,OIDC允許一系列客戶端,包括基于Web的移動設備和使用JavaScript的客戶端。

JSON網頁令牌(JWT)

JSON Web Token(JWT)是一種用于創建訪問令牌的開放標準,用于聲明一些聲明。使用[[json|JSON]]編寫的令牌旨在緊湊 – 專注于使用Web瀏覽器,單點登錄SSO)上下文。雖然不是身份提供商或服務提供商,但JWT用于在身份和服務提供商之間傳遞身份驗證的用戶身份。

RAML

RESTful API建模語言(RAML)是一種旨在描述RESTful API的語言。 RAML是用YAML人類可讀的數據串行化語言編寫的。 RAML的努力首先在2013年提出,并獲得了諸如MuleSoft,AngularJS,IntuitBoxPayPal,可編程Web和API Web Science,Kin Lane,SOA Software和Cisco等技術領導者的支持。 RAML的目標是提供所有必要的信息來描述RESTful API,從而提供一種更簡單的設計API的方法。

參考資料

REST API 面臨的 7 大安全威脅REST API 安全要點
API 安全性實踐API安全成熟度模型
應用程序接口(API)安全的入門指南 ,大量基礎概念,可以作為清單來用
Web應用風險點有哪些?

擴展閱讀

一站搜索、試用、比較全球API!
冪簡集成已收錄 6656種API!
試用API,一次比較多個渠道
国内精品久久久久影院日本,日本中文字幕视频,99久久精品99999久久,又粗又大又黄又硬又爽毛片
亚洲www啪成人一区二区麻豆| 东方欧美亚洲色图在线| 一区二区在线观看免费视频播放| 国产高清无密码一区二区三区| 欧美xfplay| 国产精品一区二区免费不卡| 日韩免费视频一区| 国产乱子伦视频一区二区三区| 精品国产在天天线2019| 粉嫩高潮美女一区二区三区 | 精品精品国产高清a毛片牛牛| 麻豆精品新av中文字幕| 亚洲国产精品t66y| 欧美视频日韩视频| 狠狠色综合播放一区二区| 国产精品天干天干在线综合| 欧美色男人天堂| 国产乱人伦偷精品视频免下载| 一区二区中文字幕在线| 日韩视频免费观看高清完整版在线观看 | 亚洲成人精品一区二区| 日韩精品中文字幕一区| 91视频.com| 日韩av不卡一区二区| 国产精品入口麻豆原神| 日韩一区二区视频| 在线精品视频一区二区| 福利一区福利二区| 免费观看一级特黄欧美大片| 亚洲欧美日韩国产综合| 精品黑人一区二区三区久久| 欧美日韩精品电影| 91久久精品日日躁夜夜躁欧美| 国产在线精品免费| 蜜芽一区二区三区| 亚洲午夜精品在线| 亚洲欧美另类在线| 国产精品高清亚洲| 国产精品乱码久久久久久| 精品久久久久一区| 日韩免费电影一区| 91精品国产综合久久久久久漫画 | 亚洲日本护士毛茸茸| 国产拍欧美日韩视频二区| 精品成人在线观看| 久久综合网色—综合色88| 日韩一区二区三| 91精品久久久久久久91蜜桃| 欧美精品久久久久久久多人混战 | 国产无一区二区| 久久久精品日韩欧美| 欧美va亚洲va香蕉在线| 欧美成人乱码一区二区三区| 日韩欧美国产综合| 精品播放一区二区| 久久久久久夜精品精品免费| 久久亚洲私人国产精品va媚药| 精品成人私密视频| 国产精品免费网站在线观看| 亚洲视频1区2区| 亚洲成人av中文| 麻豆免费看一区二区三区| 久久国产尿小便嘘嘘尿| 成人精品亚洲人成在线| 欧美在线三级电影| 精品国产污污免费网站入口 | 欧美主播一区二区三区| 欧美美女黄视频| 精品精品国产高清a毛片牛牛 | 精品乱人伦小说| 国产欧美日韩久久| 亚洲在线视频一区| 国产又黄又大久久| 欧美综合一区二区| 久久久精品蜜桃| 亚洲国产成人av网| 国产91清纯白嫩初高中在线观看| 99久久国产综合精品麻豆| 欧美精品日韩一区| 18欧美亚洲精品| 欧美一区二区三区四区五区| 亚洲男人的天堂在线观看| 精品无码三级在线观看视频 | 欧美挠脚心视频网站| 日韩一级精品视频在线观看| 欧美国产日韩亚洲一区| 亚洲亚洲人成综合网络| 国产精品影音先锋| 6080国产精品一区二区| 国产精品毛片大码女人| 国产呦萝稀缺另类资源| 欧美一级夜夜爽| 亚洲午夜久久久| caoporm超碰国产精品| 欧美一级国产精品| 亚洲一级片在线观看| 成人在线综合网| 久久你懂得1024| 秋霞电影一区二区| 日韩小视频在线观看专区| 亚洲v日本v欧美v久久精品| 99精品桃花视频在线观看| 久久久久久久久久久电影| 久久超碰97中文字幕| 日韩片之四级片| 亚洲综合久久久久| 欧美色综合影院| 亚洲一区二区三区四区的| 91久久人澡人人添人人爽欧美| 亚洲视频在线一区观看| 91麻豆自制传媒国产之光| 亚洲少妇中出一区| 91精品福利视频| 午夜欧美大尺度福利影院在线看| 在线亚洲一区观看| 亚洲国产aⅴ成人精品无吗| 欧美日韩精品一区视频| 午夜精品久久久久久久99水蜜桃| 欧美日韩国产经典色站一区二区三区| 亚洲一区二区三区国产| 欧美精品一级二级三级| 蜜桃精品视频在线| 久久久久久久综合日本| 成人av网站免费| 亚洲国产sm捆绑调教视频| 制服丝袜国产精品| 国产成人欧美日韩在线电影| 中文字幕日韩一区| 欧美日韩一区二区三区视频| 日韩国产高清在线| 国产精品全国免费观看高清| 91视频com| 激情综合网av| 亚洲免费观看视频| 欧美r级在线观看| 91小视频免费观看| 日本最新不卡在线| 中文字幕一区二区三区四区不卡| 欧美视频一区在线观看| 国产精品99久久久久久久女警| 日韩美女啊v在线免费观看| 日韩区在线观看| 欧美性受xxxx黑人xyx| 国产精品456| 琪琪一区二区三区| 久草在线在线精品观看| 精品一区二区三区视频| 欧美午夜影院一区| 在线观看av一区二区| 国产精品一区二区久久精品爱涩| 国产精品天美传媒沈樵| 日韩欧美高清在线| 在线视频综合导航| 成人免费av在线| 亚洲一区二区偷拍精品| 在线免费观看成人短视频| 亚洲第一电影网| 日韩美女精品在线| 国产午夜精品一区二区三区视频 | 亚洲欧洲另类国产综合| xfplay精品久久| 日韩一区二区三区四区| 欧美日韩国产影片| 欧美在线|欧美| 欧美在线观看你懂的| 色网综合在线观看| 豆国产96在线|亚洲| 国产成人av一区二区三区在线| 免费成人美女在线观看| 蜜桃免费网站一区二区三区 | 日韩精品亚洲一区二区三区免费| 亚洲人成网站色在线观看| 国产精品免费久久久久| 国产精品青草综合久久久久99| 国产校园另类小说区| 久久久天堂av| 最新不卡av在线| 一区二区欧美视频| 性久久久久久久久久久久| 日韩电影一区二区三区| 日韩激情一区二区| 国模娜娜一区二区三区| 成人av高清在线| 欧美视频日韩视频| 精品噜噜噜噜久久久久久久久试看| 久久久亚洲精品一区二区三区| 综合久久久久久| 日产国产欧美视频一区精品 | 国产成人精品影院| 91久久线看在观草草青青| 欧美男男青年gay1069videost| 日韩欧美你懂的| 亚洲国产成人自拍| 亚洲国产va精品久久久不卡综合| 蜜桃视频免费观看一区| 成人av动漫网站| 91精品国产色综合久久不卡电影| 国产亚洲短视频| 天堂va蜜桃一区二区三区| 91一区二区在线|