API安全：4个趋势以及从何处入手

API 安全入门

如果正在构建临时应用程序，建议更多地关注如何在XY坐标上移动，并首先关注其他较低级别的基础知识。一旦程序从那里发展出来，就可以构建第一个Web应用程序。

OpenID Connect被设计成一个非常简单的协议，因为最难的部分（服务器实现）已经由Curity等组织负责。这意味着从头开始的人可以轻松使用它，并用几行PHP或C#甚至Java编写它。

OpenID Connect允许所有类型的客户端（包括基于Web的客户端、移动客户端和JavaScript客户端）请求和接收有关经过身份验证的会话和最终用户的信息。该规范套件是可扩展的，允许参与者在需要时使用可选功能，例如身份数据加密、OpenID提供商发现和会话管理。

可以访问OpenID基金会，那里有许多例子和一些博客文章，它们会指明正确的方向。此外，建议访问Curity.io网站的“入门”部分以获取更多提示和技巧。Curity的服务器社区版完全免费，可以立即下载。值得注意的是，安全性通常是大多数API程序领导者需要花费最长时间才能弄清楚和成熟的事情之一。

在构建API时（如果正在构建通过网络连接的东西），需要从头开始制定良好的安全策略，因为许多API程序上下文中没有提到“身份”这个词。

目前需要关注的 API 安全趋势

1、相关技术：OpenID Connect

OpenID Connect作为OAuth 2.0协议之上的简单身份层，已经显著提升了安全最佳实践的标准。它允许客户端根据授权服务器执行的身份验证来验证最终用户的身份，并获取基本个人资料信息。随着OpenID Connect在身份验证和联合领域的成就，技术、产品和新标准不断涌现，推动了API安全的发展。

2、开放银行业务的持续发展

开放银行理念的核心在于客户的财务数据属于客户自己，允许在无需中介的情况下进行支付，为个人和小型企业创造了更多的金融包容性。这一趋势预计将扩展到其他地区，包括美国、中东、香港和亚洲，从而带动对符合监管要求、高度安全的API的需求。

3、新的身份标准

全球身份保证网络（GAIN）等身份识别层的构建，有助于在网上进行更安全的交易。随着这些标准的普及，需要在遵守标准和保持良好的消费者体验之间找到平衡。

4、利用超媒体API

超媒体API的使用允许将登录过程作为一种状态机进行管理，从而创建简化的用户体验。这种方法有助于在考虑与应用程序交互的所有因素时，专注于可预测性和适应性。

如何帮助企业在API设计和开发过程中实现更好的安全性

1. API设计优先

• API设计优先：Stoplight推崇API设计优先的方法，这意味着在编写代码之前，先定义和设计API的结构和行为。通过这种方法，开发团队可以在设计阶段考虑到安全问题，从而减少后期修复漏洞的成本和复杂性。API设计优先还允许更好的协作，因为所有团队成员都可以在设计阶段就对API的结构和行为达成共识。

2. 样式指南（Style Guides）

• 自动化规则：样式指南功能允许企业创建一组预定义的安全规则，这些规则会自动应用于API设计中。例如，样式指南可以检查API是否使用了强身份验证、是否有适当的输入验证等。
• 实时反馈：在使用Stoplight的设计工具时，开发者可以实时收到关于安全问题的反馈。这种即时反馈机制可以帮助开发者在编写代码时就发现并修复安全漏洞，而不是等到代码审查或测试阶段才发现问题。

3. 预设安全规则

• OWASP Top Ten：Stoplight提供了预设的安全规则集，如OWASP API安全Top Ten。这些规则集包含了API安全的最佳实践，帮助企业快速启动并应用这些行业标准。
• 自定义规则：企业可以根据自身的安全需求，添加或修改规则。例如，如果企业有特定的数据加密要求，可以将这些要求添加到样式指南中，确保所有API设计都符合这些要求。

4. 持续集成（CI）和持续交付（CD）

• CI/CD集成：Stoplight的工具可以无缝集成到企业的CI/CD管道中。在代码合并和部署之前，自动化的安全检查可以确保所有代码都符合预定义的安全标准，防止安全漏洞进入生产环境。
• 版本控制系统：在代码版本控制系统（如Git）中，样式指南可以作为检查点，确保每次代码提交都符合安全标准。这减少了人工审查的时间和工作量，同时提高了代码的安全性。

5. 设计库（Design Libraries）

• 可重用组件：设计库功能允许企业创建和共享可重用的API组件，如安全模式、参数和头信息。这些组件可以确保不同团队在设计API时使用一致的安全标准，减少重复工作和错误。例如，企业可以创建一个标准的身份验证模块，所有新开发的API都可以直接使用这个模块，而不需要每次从头开始实现。

6. 变更管理（Proposals）

• 变更监控：变更管理功能允许企业监控API的变更，确保任何修改都经过审查和批准。这有助于在设计阶段捕捉潜在的安全问题，防止它们进入生产环境。例如，如果一个API的设计发生了变更，变更管理工具会通知相关团队进行审查，确保变更不会引入新的安全漏洞。

7. 文档和可见性

• 文档生成：Stoplight可以自动生成详细的API文档，使得所有团队成员都能清楚地了解API的设计和安全要求。这不仅提高了团队的协作效率，还确保了API的透明性和可维护性。
• 可见性和审查：通过提供一个集中的平台，Stoplight使得API的设计和安全问题更加透明，便于团队之间的沟通和协作。例如，安全团队可以随时查看API的设计和实现，提出改进建议，从而提高整个开发过程的安全性。

如何选择幂简集成平台提供的spotlight？

在幂简API平台可以通过以下两种方式找到所需API：通过关键词搜索spotlight、或者从API Hub分类页进入寻找。

幂简集成是国内领先的API集成管理平台，专注于为开发者提供全面、高效、易用的API集成解决方案。幂简开发者社区会编写API入门指南、多语言API对接指南、API测评等维度的文章，让开发者快速使用目标API。

文章转载自: API 安全：4个趋势以及从何处入手