本章講解,在不考慮微服務,只考慮一個簡單的API ,如何保證這個API的安全?安全
三個問題:服務器
- 1,什麼是API ?
- 2,API安全的要素有哪些?
- 3,API安全基本機制
1、什麼是API網絡
百度百科:API(Application Programming Interface,應用程序接口)是一些預先定義的函數,或指軟件系統不一樣組成部分銜接的約定。 [1] 目的是提供應用程序與開發人員基於某軟件或硬件得以訪問一組例程的能力,而又無需訪問原碼,或理解內部工做機制的細節。函數
通俗的講:API就是你爲客服提供服務的一種方式。微服務
二,API安全包含哪些方面加密
API安全主要包含3方面內容:url
信息安全:信息在整個生命週期裏(信息從建立、存儲、轉換 、備份、銷燬),數據是受到保護的,是安全的。spa
網絡安全:數據在經過網絡進行傳輸的時候是安全的,不會被人盜取或篡改,也應該保證在網絡上,不會被未受權的訪問接觸到你的信息。.net
應用安全:應用程序自己的安全。從設計上要抵擋各類各樣的攻擊,防範各類風險。設計
這3個方面綜合起來,才能夠說你的API是安全的。
3、API風險與應對
四,安全機制圖解
綠色部分就是咱們要在用戶請求到業務邏輯API之間要加入的安全機制。
1,流控(流量控制)在全部安全機制的最前面,經過流控把一些請求擋調以後,後邊的處理是不須要作的。
2,認證,在流控後面,確保用戶就是他聲名的身份。
3,審計,記錄誰何時作了什麼。
4,受權,決定一個請求是否能夠被執行。
5,加密,是貫穿在整個請求的過程當中的。從用戶的設備到服務器的請求, 自己就應該是加密的,如用https;在請求中攜帶的數據,好比用戶密碼或者他敏感信息,在整個過程當中,也應該都是加密的。
+++++++++++++++++++++++++++++分割線+++++++++++++++++++++++++++
小結:
本篇說了
1,什麼是AP:API就是你爲客服提供服務的一種方式。
2,API安全包含哪些方面:信息安全、網絡安全、應用安全
3,API風險與應對
4,安全機制圖解