本章讲解,在不考虑微服务,只考虑一个简单的API ,如何保证这个API的安全?安全
三个问题:服务器
- 1,什么是API ?
- 2,API安全的要素有哪些?
- 3,API安全基本机制
1、什么是API网络
百度百科:API(Application Programming Interface,应用程序接口)是一些预先定义的函数,或指软件系统不一样组成部分衔接的约定。 [1] 目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问原码,或理解内部工做机制的细节。函数
通俗的讲:API就是你为客服提供服务的一种方式。微服务
二,API安全包含哪些方面加密
API安全主要包含3方面内容:url
信息安全:信息在整个生命周期里(信息从建立、存储、转换 、备份、销毁),数据是受到保护的,是安全的。spa
网络安全:数据在经过网络进行传输的时候是安全的,不会被人盗取或篡改,也应该保证在网络上,不会被未受权的访问接触到你的信息。.net
应用安全:应用程序自己的安全。从设计上要抵挡各类各样的攻击,防范各类风险。设计
这3个方面综合起来,才能够说你的API是安全的。
3、API风险与应对
四,安全机制图解
绿色部分就是咱们要在用户请求到业务逻辑API之间要加入的安全机制。
1,流控(流量控制)在全部安全机制的最前面,经过流控把一些请求挡调以后,后边的处理是不须要作的。
2,认证,在流控后面,确保用户就是他声名的身份。
3,审计,记录谁何时作了什么。
4,受权,决定一个请求是否能够被执行。
5,加密,是贯穿在整个请求的过程当中的。从用户的设备到服务器的请求, 自己就应该是加密的,如用https;在请求中携带的数据,好比用户密码或者他敏感信息,在整个过程当中,也应该都是加密的。
+++++++++++++++++++++++++++++分割线+++++++++++++++++++++++++++
小结:
本篇说了
1,什么是AP:API就是你为客服提供服务的一种方式。
2,API安全包含哪些方面:信息安全、网络安全、应用安全
3,API风险与应对
4,安全机制图解