需要考虑的 7 个 API 安全最佳实践

小安 in 安全 2022-12-30 9:07:24

您的 API 可能是一个安全弱点，因此请确保通过以下措施保护它免受黑客攻击。

finger-print-with-word-security
应用程序编程接口 (API) 是应用程序进行通信的平台。API 应用广泛，在许多现代软件架构中发挥着至关重要的作用。

API 安全是防止或减轻对 API 的攻击的做法。API 容易受到旨在破坏应用程序或钓鱼敏感数据的攻击。

API 有很多漏洞。这些包括破坏身份验证、速率限制和未经授权的代码注入。此类漏洞可能会威胁到应用程序的性能及其数据的完整性。幸运的是，您可以使用一些最佳实践来确保可靠的 API 安全性。

1. 认证

key-picture
无论您使用的是 REST、SOAP 还是 GraphQL，API 身份验证都是至关重要的。身份验证是在用户可以访问系统之前验证用户身份的过程。

身份验证已从仅使用密码转移到多重身份验证过程(MFA)。MFA 确保用户在访问其帐户之前完成多项验证检查。
最常见的 MFA 是两步认证，它在很大程度上减少了威胁。它需要额外的身份验证方法，例如发送到电话号码或电子邮件帐户的代码。

两步过程减少了任何人访问系统的机会。如果他们无法访问第二个身份验证密码，他们将无法访问。

2. 利用 OAuth

OAuth 是一种控制 API 安全性的强大方式。它是一种开放协议，可以通过简单标准的方法确保来自 Web、移动和桌面应用程序的授权。

它是一个基于令牌的身份验证框架，用于控制对 API 的访问。OAuth 允许第三方访问信息而无需暴露用户的凭据。

3.验证输入

数据验证涉及对传入数据进行类型检查。这种做法有助于防止代码注入或跨站点脚本等攻击。
tick-caution-and-denied-symbols
您应该在所有端点建立数据验证检查。此类检查包括验证 API 接收的数据的语法和值。

一些常见的输入验证方法包括：

JSON 和 XML 验证模式
常用表达
检查数据类型
数字的最小值和最大值范围
字符串的最小和最大长度

验证输入可防止您的 API 将恶意数据接受到您的系统中。Django REST 框架具有出色的功能，可帮助验证您的 API 输入。

您可以使用输入模糊测试来测试您的 API。模糊测试针对 API 测试随机数据，直到您检测到安全问题。如果提供的数据不是标准的，安全 API 将返回一条错误消息。

4.使用速率限制

速率限制是一种在请求过多时保护服务器的方法。它可以防止服务器过度工作和关闭。
hand-adding-items-to-mesuringscale
速率限制可保护您的应用程序免受拒绝服务 (DoS) 等攻击。随着 API 获得更多用户，他们更容易受到此类攻击。DoS 攻击会影响应用程序的性能甚至使其崩溃。

通过速率限制，用户在每个预定时间只能访问一定数量的请求。如果用户超出设定的限制，API 会阻止用户访问，直到下一次会话。

例如，您可以将新闻网站的请求限制设置为每小时 1,000 个请求。当用户超过此限制时，他们将不会在应用程序的提要中看到任何新项目。时限届满后，请求将恢复。

当您想通过 API 获利时，速率限制也会派上用场。您可以为具有不同速率限制的用户设置类别。这可以鼓励人们在需要提出更多请求时支付更多费用。

5.过滤数据

API 应该只共享必需的数据。您可以使用随机数据测试您的 API，以检查它返回的数据类型。确保它不会暴露 API 密钥或密码等安全信息。
filter-image
为不同类型的数据提供足够的端点。这将使用户能够访问他们需要的特定信息，并避免从数据库中获取不相关的数据。

有多种方法可以过滤 API 调用中的数据。最简单的是使用 URL 参数。您可以通过过滤属性名称来进行基本过滤。

但是，参数只能过滤精确匹配。如果您需要提供更复杂的匹配，您将需要提供替代方法。

6. 使用 API 网关

API 网关可以提供增强的安全性、监控和整体 API 管理。它充当所有 API 流量的中心点。网关位于用户和应用程序后端之间。
man-with-t-shirt-written-security-at-the-back
API 网关授权和验证流量。它还可以控制您使用 API 的方式。网关识别网络、组件、驱动程序和操作系统中的漏洞。