【API安全】 如果公司交给你一个任务让你写一个api接口,那么我们应该如何设计这个api接口来保证这个接口是对外看起来"高大上"，"羡慕崇拜",并且使用起来和普通api接口无感，并且可以完美接入aspnetcore的认证授权体系呢，而不是自定义签名来进行...

【API安全】 API 已成为现代数字基础设施的支柱。它们使企业能够与客户实时互动、自动化工作流程和扩展运营。然而，它们的巨大好处也伴随着重大风险——尤其是在没有安全的情况下。正如最近对其 API 漏洞的深入研究所揭示的那样，Dotpe 的案例为提供公共 API 的公司提供了一个警示故事。

【API安全】 在Office 365的Excel中，虽然有了Copilot，目前我们还无法使用。不过可以用自定义Formula来调用ChatGPT来实现。本文是演示使用VBA创建一个自定义函数 AI()调用OpenAI API，并返回API的响应。 ...

【API安全】 本文简单回顾了 API 的发展历史，其基本概念、功能、相关协议、以及使用场景，重点讨论了与之相关的不同安全要素、威胁、认证方法、以及十二项优秀实践。   根据有记录的历史，随着 Salesforce 的销售自动化解决方案的推出，首个 ...

【API安全】 了解接口常见漏洞，将帮助你在测试接口获取更多的思路。 信息披露 信息可能会在 API 响应或公共来源（如代码存储库、搜索结果、新闻、社交媒体、目标网站和公共 API 目录）中披露。 敏感数据可以包含攻击者可以利用的任何信息...

【API安全】 导读：面试官如果问您怎么保证API的安全，本文值得借鉴。 如何保证外网开放接口的安全性？ 使用加签名方式，防止数据篡改 信息加密与密钥管理 搭建OAuth2.0认证授权 使用令牌方式 搭建网关实现黑名...

【API安全】 OAuth 2.0 是一种安全标准，您可以授予一个应用程序访问另一个应用程序中的数据的权限。我们有一个商定的标准，可以安全地允许一个服务访问另一个服务的数据。不幸的是，这些标准使用了大量的行话和术语，这使得它们更难理解。本文的目的是使用简化的插图来解释这些标准是如何工作的。

【API安全】 这篇文章讨论了Cookies在网站中的用途，以及它们如何被用于跟踪用户行为和保持登录状态。同时，文章指出了Cookie窃取和会话劫持的风险，即攻击者通过窃取活动Cookies来冒充用户执行操作。文章还描述了一个具体的事件响应调查案例，其中黑客通过注入混淆的恶意代码到WordPress网站的合法JavaScript文件中来窃取Cookies。这些代码会检查用户代理，排除搜索引擎爬虫，然后收集活动Cookie数据并发送到一个假冒的WordPress API域名。文章最后强调了网站管理员在审计代码时需要警惕拼写错误和域名的合法性，以及使用核心文件完整性检查或网站监控服务来检测潜在的安全问题。

【API安全】 前言 首先我们需要了解API基本的一些知识，我们首先来看几个GET方式的API GET /api/books HTTP/1.1Host: example.com 首先上面这种，是api的端点，也就是请求点，通过交互获得图书...

【API安全】 OAuth 2.0 和 OpenID Connect （OIDC） 是用于用户身份验证和授权的行业标准协议。Okta 身份解决方案基于这些标准。

【API安全】 API 不安全和爬虫程序的自动滥用导致全球高达 11.8% 的网络事件和损失，与 Bot 相关的安全事件数量在 2022 年和 2023 年分别增长了 88% 和 28%，与 2021 年相比，不安全的 API 造成的损失高达 120 亿美元。

【API安全】 在“API 应用安全”中，了解API接口面临的常见安全威胁是保障应用安全的关键。API接口在支持系统间数据交换和操作请求的同时，也暴露出许多潜在风险。这些安全威胁不仅会危及API接口本身，还会影响整个应用系统的安全性。本文将介绍几种常见的API攻击方式及API特有的安全风险。

【API安全】 API 安全是现代应用程序的核心部分，保护用户数据和系统免受攻击。最佳实践包括采用强身份验证、加密数据传输、实施最小权限原则、定期进行安全测试与审计等措施。这些做法应贯穿 API 开发的全过程，确保系统安全。

【API安全】 在本篇文章中，我们将通过代码交换证明密钥扩展来介绍授权代码流程，以便更好地了解其工作原理以及如何处理从流程中获取的授权令牌。

【API安全】 OAuth 2.0 将很多细节留给了实施者。例如，它支持范围，但未指定范围名称。它支持访问令牌，但未指定这些令牌的格式。使用 OIDC，定义了许多特定的范围名称，每个名称都会产生不同的结果。