带你走进API安全的知识海洋

简介: 带你走进API安全的知识海洋

Part1什么是API


API(Application Programming Interface,应用程序接口)是一些预先定义的接口(如函数、HTTP接口),或指软件系统不同组成部分衔接的约定。用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程,而又无需访问源码,或理解内部工作机制的细节。


通过API,就算不知道如何操作,也能将产品或服务与其他产品或服务进行互通。这样就可以简化应用开发,节省时间和成本。在开发新的工具和产品或管理现有工具和产品时,强大灵活的API可以帮助简化设计、管理和使用,并带来更多创新机遇。


API有时被视为 “合同”,而 “合同” 文本则代表了各方之间的协议:如果一方以特定方式发送远程请求,该协议规定了另一方的软件将如何做出响应。


API发展简史


API概念的出现,始于计算机时代的初期,远远早于个人电脑诞生之前。当时,API常被当作操作系统的库,而且基本上都在本地系统上运行,仅偶尔用于大型机之间传递消息。将近30年后,API走出了它们的本地环境。到了21世纪初,API成为了用于实现数据远程集成的一种重要技术。


远程API和Web API的区别


远程API旨在通过通信网络进行互动。这里的”远程”是指API操控的资源不在提出请求的计算机上。由于互联网是应用最广泛的通信网络,所以大多数API都是基于Web标准来设计的。并非所有的远程API都是Web API,但可以认为Web API都是远程API。


Web API通常会使用HTTP来传输请求消息,并提供响应消息的结构定义。这些响应消息通常都会以XML或JSON文件的形式来提供。XML和JSON都是首选格式,因为它们会以易于其他应用操纵的方式来呈现数据。


REST与SOAP的区别


随着Web API的不断普及,相应的协议规范也随之产生了,从而推动了信息交换的标准化:简单对象访问协议,简称SOAP。使用SOAP设计的API会使用XML格式来收发消息,并通过HTTP或SMTP来接收请求。使用SOAP时,在不同环境中运行的应用或使用不同语言编写的应用能够更加轻松地共享信息。


相关的规范还有一个,即表述性状态传递(REST)。遵循REST架构约束的Web API 被称为RESTful API。REST与SOAP有着根本区别:SOAP是一种协议,而REST是一种架构模式。这意味着RESTful Web API没有官方标准。正如Roy Fielding在论文”Architectural Styles and the Design of Network-based Software Architectures”(架构模式以及基于网络的软件架构的设计)中定义的那样,只要API 符合RESTful系统的6个导向性约束,就算作RESTful API:


1.客户端/服务器架构:REST 架构由客户端、服务器和资源构成,通过HTTP来处理请求。

2.无状态:请求所经过的服务器上不会存储任何客户端内容。与会话状态相关的信息会存储在客户端上。

3.可缓存性:通过缓存,可免去客户端与服务器之间的某些交互。

4.分层系统:客户机与服务器之间的交互可以通过额外的层来进行调解。这些层可以提供额外的功能,如负载均衡、共享缓存或安全防护。

5.按需代码(可选):服务器可通过传输可执行代码来扩展客户端的功能。

6.统一接口:这项约束是RESTful API的设计核心,共涵盖 4 个层面:

7.识别请求中的资源:请求中的资源会被识别,并与返回给客户端的表示内容分离开来。

8.通过不同的表示内容来操纵资源:客户端会收到表示不同资源的文件。这些表示内容必须提供足够的信息,以便执行修改或删除操作。

9.自描述消息:返回给客户端的每个消息都包含充足的信息,用于指明客户端应该如何处理所收到的信息。

10.将超媒体作为应用状态的引擎:在访问某个资源后,REST客户端应该能够通过超链接来发现当前可用的所有其他操作。

虽然看似有很多约束需要遵循,但是这些约束遵循起来要比遵循规定的协议容易得多。因此,RESTful API现在变得比SOAP更为普及。


近年来,OpenAPI规范已成为定义REST API的通用标准。OpenAPI为开发人员提供了一种与语言无关的方式来构建REST API接口,从而最大程度减少不确定的因素,让用户安心工作。


面向服务的架构(SOA)和微服务架构


最常使用远程API的两种架构方案分别是:面向服务的架构(SOA)和微服务架构。在这2种方案中,SOA的历史更为久远一些。最初,它是在单体式应用的基础上经过改进而形成的。虽然单个单体式应用也可以完成各种操作,但通过某种集成模式(如企业服务总线(ESB))在不同应用间实现松散耦合后,即可获得某些功能。


从大多数层面来看,SOA都要比单体式架构更简单,但是,如果无法明确理解各种组件交互,SOA也可能会进一步加剧整个环境的复杂性。这种复杂性的加剧会重新引发 SOA 想要解决的某些问题。


对于专用松散耦合服务的使用,微服务架构与SOA模式类似。但是,微服务架构会对传统架构进行进一步细分。在微服务架构中,服务会采用通用消息传递框架,如RESTful API。它们会使用RESTful API来实现相互通信,且无需执行繁琐的数据转换处理或使用其他的集成层。使用RESTful API可以加速新功能和新更新的交付;甚至还可以说,是这类API促进了这种速度的提升。该架构中的每一个服务都呈离散状态。一个服务可以被取代、增强或丢弃,而不会影响架构中的任何其他服务。这种轻量级架构有助于优化分布式资源或云资源,而且能够支持个别服务的动态扩展。


Part2什么是API安全


API 安全防护就是保护 API(包括拥有和使用中的 API)的完整性。


Web API安全防护主要关注通过API与互联网的数据传输。


Web API安全性包括API访问控制和隐私,以及通过OWASP API Security Top 10中所述的API逆向工程和对API漏洞的利用来检测和补救对API的攻击。


因为他们通常可以通过公共网络(从任何地方访问)获得,所以API通常都有很好的文档记录或易于逆向工程。API对拒绝服务(DDOS)类型的事件也非常敏感,因此对于不良行为者来说,它们是很有吸引力的目标。


攻击包括绕过客户端应用程序,以试图破坏其他用户的应用程序功能或破坏私人信息等。API安全性专注于保护此应用程序层并解决恶意黑客直接与API交互时可能发生的情况。


REST API 安全防护与SOAP API 安全防护对比


大多数API实现属于REST(表述性状态传递)或SOAP(简单对象访问协议)。


REST API使用HTTP并且支持传输层安全性(TLS)加密。TLS是确保互联网连接私密性的一个标准,可以检查两个系统(服务器与服务器或服务器与客户端)之间发送的数据是否受到加密且未被篡改。这意味着,如果黑客试图从购物网站套取信用卡信息,他们会无法读取或修改数据。如果URL的开头是”HTTPS”(超文本传输安全协议),那么该网站就使用了TLS保护。


REST API也使用JavaScript对象表示法(JSON),这是一种能够更轻松通过Web浏览器传输数据的文件格式。通过使用HTTP和JSON,REST API不需要存储或重新打包数据,因此速度要比SOAP API快得多。


SOAP API使用称为Web服务安全性(WS 安全性)的内置协议。这类协议会定义一套采用保密和身份验证的规则集。SOAP API支持两大国际标准机构(结构化信息标准促进组织(OASIS)和万维网联盟(W3C))制定的标准,它们结合使用XML加密、XML 签名和SAML令牌来验证身份和授权。通常而言,SOAP API因具有更加全面的安全措施而受到推崇,但它们也需要更多的管理。因此,处理敏感数据的机构更推荐采用SOAP API。


相关文章
|
2月前
|
Kubernetes 安全 Cloud Native
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
本文介绍了云原生环境下Kubernetes集群的安全问题及攻击方法。首先概述了云环境下的新型攻击路径,如通过虚拟机攻击云管理平台、容器逃逸控制宿主机等。接着详细解释了Kubernetes集群架构,并列举了常见组件的默认端口及其安全隐患。文章通过具体案例演示了API Server 8080和6443端口未授权访问的攻击过程,以及Kubelet 10250端口未授权访问的利用方法,展示了如何通过这些漏洞实现权限提升和横向渗透。
182 0
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
|
3月前
|
人工智能 安全 API
API应用安全风险倍增,F5助企业赢得关键安全挑战
API应用安全风险倍增,F5助企业赢得关键安全挑战
56 11
|
3月前
|
安全 Java API
【性能与安全的双重飞跃】JDK 22外部函数与内存API:JNI的继任者,引领Java新潮流!
【9月更文挑战第7天】JDK 22外部函数与内存API的发布,标志着Java在性能与安全性方面实现了双重飞跃。作为JNI的继任者,这一新特性不仅简化了Java与本地代码的交互过程,还提升了程序的性能和安全性。我们有理由相信,在外部函数与内存API的引领下,Java将开启一个全新的编程时代,为开发者们带来更加高效、更加安全的编程体验。让我们共同期待Java在未来的辉煌成就!
71 11
|
3月前
|
安全 Java API
【本地与Java无缝对接】JDK 22外部函数和内存API:JNI终结者,性能与安全双提升!
【9月更文挑战第6天】JDK 22的外部函数和内存API无疑是Java编程语言发展史上的一个重要里程碑。它不仅解决了JNI的诸多局限和挑战,还为Java与本地代码的互操作提供了更加高效、安全和简洁的解决方案。随着FFM API的逐渐成熟和完善,我们有理由相信,Java将在更多领域展现出其强大的生命力和竞争力。让我们共同期待Java编程新纪元的到来!
105 11
|
4月前
|
安全 API 数据处理
后端开发中的API设计哲学:简洁、高效与安全
【8月更文挑战第29天】 在后端开发的广阔天地中,API(应用程序编程接口)的设计如同编织一张无形的网,连接着数据的海洋与应用的大陆。本文将深入探讨如何打造一个既简洁又高效的API,同时不忘筑牢安全的防线。我们将从API设计的基本原则出发,逐步剖析如何通过合理的结构设计、有效的数据处理和严格的安全措施来提升API的性能和用户体验。无论你是初学者还是资深开发者,这篇文章都将为你提供宝贵的视角和实用的技巧,帮助你构建出更优秀的后端服务。
|
5月前
|
安全 API 网络架构
Python RESTful API设计新篇章,打造高效、易用、安全的Web服务接口,你准备好了吗?
【7月更文挑战第22天】在数字化转型中,RESTful API借助Python的Flask和Django REST Framework,提供高效、易用和安全的接口设计。Flask示例展示了简洁的CRUD操作,Swagger等工具增进API文档的易用性,而HTTPS、JWT和输入验证确保安全性。Python RESTful API设计涉及效率、可用性和安全,是不断进化的Web服务接口的关键。准备好踏上这一新篇章了吗?一起探索,创造卓越!
68 2
|
5月前
|
安全 API 网络安全
Django RESTful API安全实践
【7月更文挑战第19天】构建安全的Django RESTful API需要综合考虑多个方面,包括身份验证与授权、数据验证与清洗、安全的HTTPS连接、限制请求频率以及审计与日志记录等。通过实施这些安全实践,可以有效地保护API服务免受各种安全威胁的侵害,确保用户数据的安全性和服务的可用性。开发者在开发RESTful API时,应始终将安全性放在首位,确保API服务的安全可靠。
|
5月前
|
存储 JSON 安全
OAuth2与JWT在API安全中的角色:技术深度解析
【7月更文挑战第20天】OAuth2和JWT作为两种重要的安全协议,在API安全中发挥着不可或缺的作用。OAuth2通过提供灵活的授权框架,实现了对资源的细粒度访问控制;而JWT则通过其紧凑性和自包含性,确保了身份验证和信息传输的安全性。在实际应用中,将OAuth2和JWT结合使用,可以构建出既强大又安全的API服务,为用户提供更加安全、可靠和便捷的数字体验。
|
5月前
|
安全 Java API
构建基于Spring Boot的REST API安全机制
构建基于Spring Boot的REST API安全机制
|
5月前
|
数据可视化 安全 API
数据库开放权限风险高,API非唯一选择:DataV为您开启安全高效的数据可视化之旅
良好的用户体验:DataV注重用户体验设计,提供了丰富的交互效果和动画效果,使得数据可视化大屏更加生动、吸引人。这有助于提升用户的参与度和满意度,促进数据的广泛应用