Entry № 059
API 安全
API 安全 是什么?
API 安全围绕 API 的设计、构建与运营,使其在受到攻击时仍能保持身份认证、授权、数据暴露与抗滥用能力的实践。
API 安全涵盖 REST、GraphQL、gRPC 与 Webhook 等接口,这些接口往往直接暴露业务逻辑。它聚焦 OWASP API Security Top 10,如对象级授权失效、认证失效、数据过度暴露、资源消耗无限制以及 SSRF。有效的方案结合强身份(OAuth 2.0/OIDC、签名 JWT、mTLS、带 scope 的令牌)、对每个对象引用的严格授权、基于模式的请求与响应校验、限速与配额、结构化日志,以及 SAST、DAST 与 API 专用模糊测试。识别并清点影子与僵尸 API 是基础——无法防御你不知道存在的接口。
● 示例
- 01
返回订单前校验当前认证用户拥有该 orderId,以防止 BOLA/IDOR。
- 02
在 GraphQL 端点前实施基于令牌的限速与请求大小上限。
● 常见问题
API 安全 是什么?
围绕 API 的设计、构建与运营,使其在受到攻击时仍能保持身份认证、授权、数据暴露与抗滥用能力的实践。 它属于网络安全的 应用安全 分类。
API 安全 是什么意思?
围绕 API 的设计、构建与运营,使其在受到攻击时仍能保持身份认证、授权、数据暴露与抗滥用能力的实践。
如何防御 API 安全?
针对 API 安全 的防御通常结合技术控制与运营实践,详见上方完整定义。
API 安全 还有哪些其他名称?
常见的别称包括: API 安全性。