Безопасность API
Что такое Безопасность API?
Безопасность APIДисциплина проектирования, разработки и эксплуатации API так, чтобы аутентификация, авторизация, выдача данных и устойчивость к злоупотреблениям выдерживали атаки.
Безопасность API охватывает REST, GraphQL, gRPC и вебхуки, которые часто напрямую раскрывают бизнес-логику. Она ориентирована на риски OWASP API Security Top 10: нарушение авторизации на уровне объектов, нарушенная аутентификация, чрезмерная выдача данных, неограниченное потребление ресурсов, SSRF. Эффективные программы сочетают сильную идентификацию (OAuth 2.0/OIDC, подписанные JWT, mTLS, токены со scope), строгую авторизацию для каждой ссылки на объект, валидацию запросов и ответов по схеме, rate limiting и квоты, структурированное логирование и непрерывное тестирование через SAST, DAST и API-специфичный фаззинг. Базой служит инвентаризация «теневых» и «зомби»-API — невозможно защищать то, о чём не знаешь.
● Примеры
- 01
Перед возвратом заказа проверять, что аутентифицированный пользователь владеет 'orderId', чтобы предотвратить BOLA/IDOR.
- 02
Внедрение per-token rate limits и ограничения размера запроса перед GraphQL-эндпоинтом.
● Частые вопросы
Что такое Безопасность API?
Дисциплина проектирования, разработки и эксплуатации API так, чтобы аутентификация, авторизация, выдача данных и устойчивость к злоупотреблениям выдерживали атаки. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Безопасность API?
Дисциплина проектирования, разработки и эксплуатации API так, чтобы аутентификация, авторизация, выдача данных и устойчивость к злоупотреблениям выдерживали атаки.
Как защититься от Безопасность API?
Защита от Безопасность API обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Безопасность API?
Распространённые альтернативные названия: Защита API.