Segurança de API
O que é Segurança de API?
Segurança de APIDisciplina de projetar, construir e operar APIs para que autenticação, autorização, exposição de dados e resistência a abusos se mantenham sob ataque.
A segurança de API abrange superfícies REST, GraphQL, gRPC e webhooks que muitas vezes expõem a lógica de negócio diretamente. Ela trata dos riscos do OWASP API Security Top 10, como autorização quebrada a nível de objeto, autenticação quebrada, exposição excessiva de dados, consumo de recursos sem limite e SSRF. Programas eficazes combinam identidade forte (OAuth 2.0/OIDC, JWTs assinados, mTLS, tokens com escopo), autorização estrita em toda referência de objeto, validação de requisição e resposta baseada em schema, rate limiting e cotas, logs estruturados e testes contínuos com SAST, DAST e fuzzing específico de API. Descobrir e inventariar APIs sombra e zumbi é fundamental: não se defende o que não se conhece.
● Exemplos
- 01
Validar se o usuário autenticado é dono do 'orderId' antes de retornar o pedido, evitando BOLA/IDOR.
- 02
Aplicar limites de taxa por token e teto de tamanho de requisição diante de um endpoint GraphQL.
● Perguntas frequentes
O que é Segurança de API?
Disciplina de projetar, construir e operar APIs para que autenticação, autorização, exposição de dados e resistência a abusos se mantenham sob ataque. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Segurança de API?
Disciplina de projetar, construir e operar APIs para que autenticação, autorização, exposição de dados e resistência a abusos se mantenham sob ataque.
Como se defender contra Segurança de API?
As defesas contra Segurança de API costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Segurança de API?
Nomes alternativos comuns: Segurança de APIs.