确保服务器到服务器通信（API 到 API）安全的最佳方法

在大片续集《加勒比海盗：聚魂棺》中，杰克·斯派洛和他的同伴们开始了一段曲折的旅程，寻找一把钥匙和能打开的宝箱。在整部电影中，指南针、宝箱、钥匙和泥土罐不断易手，但钥匙、宝箱和手的正确组合直到下一部才最终出现。 

就安全性而言，埋藏的宝藏可能对大多数海盗来说足够好，但对您的用户来说足够好吗？

服务器到服务器通信是许多互联网系统的支柱，但安全性的进步带来了安全规避的进步。这些确保服务器到服务器通信安全的新挑战要求软件公司和开发人员熟悉最新和最好的工具，以确保其 API 安全。

什么是 API 密钥？

当 API 需要通信时，API 密钥提供了绝佳的解决方案。由于 API 密钥是静态的，并且易于生成和撤销，因此它们是保护通信安全的有效而直接的方法。

但是API 密钥是什么？API 密钥是用于在应用程序编程接口中验证用户、开发人员或程序的唯一标识符。可以为 API 密钥分配特定的访问权限（例如读取或写入权限），当使用Auth API生成时，它们可以灵活且多样化地实现。

API 密钥简短且静态，这意味着它们可以高效生成，并且可以一直使用直到其访问权限被撤销 – 这是 Auth API 提供的众多功能之一。

服务器到服务器通信的替代方案

每种结构都有优点和缺点，但服务器到服务器通信的替代方案也存在一些需要注意的重大缺点。以下是一些服务器到服务器通信的替代方案，以及它们可能不适合您的 API 的原因：

1. 用户与服务器通信

由于数据集中化，用户到服务器（或客户端到服务器）的通信效率高，维护需求低。虽然这些优点对于许多应用程序来说都是值得的，但也存在一些严重的隐患需要注意。

用户与服务器通信的最大缺点是它破坏了安全范式。随着越来越多的关键数据在服务器和客户端位置之间传播，构建越来越安全的防火墙只是解决日益严重的长期问题的短期解决方案。

2. 通过隐蔽性实现安全

隐蔽式安全(STO) 依靠隐藏系统漏洞和脆弱性的关键信息，向不法分子隐藏弱点。然而，通过将系统信息限制在少数关键利益相关者手中，黑客很难发现城堡墙壁上的弱点。

虽然 STO 在有限的应用中是一种很好的做法，但它最大的缺陷是一旦潘多拉魔盒打开，就很难关上。通过隐蔽性实现安全性是一种有限的策略，可以让坏人更难进入，但一旦他们获得访问权限，单靠 STO 不足以保证您的数据安全。

API 密钥实施的挑战

虽然 API 密钥非常有用，但也存在一些缺陷。以下是实施 API 密钥时需要注意的一些挑战：

• 不要过度配置用户角色。一开始就提供广泛的访问权限，然后限制访问权限似乎更容易，但通常，这种限制永远不会发生。这种过度配置的访问权限可能会导致严重的 IT 风险，远远超过广泛访问权限带来的生产力优势。68 % 的组织在添加新权限之前没有注意提升 IT 访问权限，这使他们不必要地处于危险之中，并因不受监控的特权而面临网络攻击的风险。
• 使用 SSL/HTTPS 备份 API 密钥。单独的 API 密钥通常不被认为是安全的。由于您的客户端可以访问密钥，因此很容易受到中间人(MITM) 攻击和其他形式的网络安全威胁。由于存在此漏洞，必须使用 SSL/HTTPS 备份 API 密钥。不建议将 API 密钥直接嵌入代码中 – 这会使您和您的客户端容易遭遇密钥意外泄露或被盗。相反，请使用 HTTPS 引用者或通过 SSL 身份验证加密服务器之间的链接。
• 使用访问控制进行身份验证和授权。 访问控制是限制身份验证和授权的做法。身份验证就像门卫一样——它决定谁拥有正确的身份证明才能进入。另一方面，授权限制用户进门后可以做什么。限制谁可以访问您的 API 以及他们可以进行哪些更改，可以限制不良行为者可能造成的损害。
• 使用密码保护的最佳实践。设置强密码的构成准则，以保护您的用户免受暴力攻击。不要误以为现代用户足够精通技术，可以自愿创建强密码：2021 年，密码“123456”被使用了超过 1 亿次，破解只需不到一秒钟。鼓励您的用户使用至少 12 个字符长的字母数字和特殊字符的密码。限制密码尝试次数和加密密码数据也是预防暴力攻击的有效方法。
• 记录所有 API 密钥使用情况。API密钥的持久性既是优点也是缺点。优点在于密钥不会过期，缺点在于一旦被盗，除非您保留使用 API 密钥的服务器的适当日志，否则很难追踪和撤销它们。拥有清晰的审计线索对于识别和修复违规行为至关重要，而像 Auth API 这样的 API 平台是记录 API 密钥使用情况的最简单方法。
• 保持实施简单。避免过度构建。API 密钥应该足够简单，以便任何开发人员都能很好地实施。这就是Auth API发挥作用的地方。它们消除了 API 密钥实施中的猜测，因此您不必重新发明轮子，您的开发人员可以高枕无忧。Auth API 为您提供了工具，让您轻松高效地将 API 密钥实施到您的服务器到服务器通信中，并具有强大的控制和多功能功能。

API 密钥最佳实践

现在您知道了为什么 API 密钥是保护服务器到服务器通信的最佳方式，并且您知道需要谨慎应对哪些挑战，下面是一些经过时间考验的最佳实践，可帮助您走上成功之路。当然，您的软件需求与您一样多样化和个性化，但这些最佳实践可帮助您根据特定需求定制通信安全性，从而减少一些猜测。

• 应限制用户角色。定义正确的用户角色是确保数据安全的重要部分。限制对软件具有读写权限的用户数量至关重要，并且最好始终谨慎使用权限并根据需要放宽权限，而不是慷慨使用权限并试图在以后重蹈覆辙。限制用户规则是防止特权升级的一种保障措施，特权升级是一种网络攻击，用户利用系统中的漏洞为自己授予比最初预期更多的权限。保持对访问权限的良好控制可以限制您暴露于特权升级等风险。
• 记录所有使用 API 密钥的服务器。这与记录 API 密钥的使用情况密切相关。记录每台尝试使用 API 密钥的服务器可以让您识别异常模式。API 密钥的好处之一是，它允许您跟踪拥有 API 密钥访问权限的公司，以及这些公司中的哪些个人控制着密钥。
• 确定优化领域。充分了解组织的结构以及数据需求是有效使用 API 密钥的关键。最佳做法是每个需要数据访问的系统仅使用一个 API 密钥。通过确定系统和数据需求，您可以确定细分 API 密钥使用情况的最佳方式，以消除重叠和冗余。
• 为密钥持有者分配角色。API 密钥持有者不一定是个人用户。通过确定谁需要哪些权限以及对哪些系统需要哪些权限来创建分层权限类别。请记住，关键概念是尽可能消除重叠，但将适当的角色分配给密钥持有者需要全面了解密钥持有者属于哪些类别。
• 生成强 API 密钥。API安全的关键是生成强 API 密钥。API 密钥包括字母数字和特殊字符，强 API 密钥应该是随机生成的、唯一的、不可猜测的。例如，Auth API使用专为加密设计的安全随机生成器，他们建议将十六进制编码切换为 Base64。
• 安全存储 API 密钥。如果密钥落入坏人之手，诺克斯堡的锁就没用了。安全生成 API 密钥后，还必须安全存储。您的密钥需要访问，但为了避免把鸡蛋放在一个篮子里，应该通过生成哈希值来存储它们。当用户发送 API 密钥请求时，他们的 API 密钥会被哈希处理并与存储的哈希值进行比较，以增加安全级别。这可以确保即使您的基础设施受到威胁，恶意行为者也无法访问您用户的 API 密钥。

确保服务器到服务器通信安全的优势

保护您最重要的信息并非易事，您可能想知道是否值得您花时间去担心 API 密钥的问题。

您的安全是您最大的资产：没有它，您最宝贵的数据可能会被盗用、篡改或滥用。确保服务器之间的通信安全是重中之重，这不仅是为了您的安全，也是为了您的用户的安全。API 调用现在占所有网络流量的 83%，这意味着您的 API 到 API 安全现在比以往任何时候都更加重要。维护安全的服务器到服务器通信有许多好处：

1.异常检测

拥有安全的服务器到服务器通信可让您密切关注 API 密钥的使用情况。通过利用可用的工具分析趋势并跟踪使用 API 的程序、用户和公司，您可以确保您的最大资产只掌握在最优秀的人手中。 

2.身份检测

随着安全规避工具库的不断扩大，不法分子善于获取您基础设施的访问权限。API 密钥允许您识别哪些用户受到了威胁，以便您可以撤销权限并进行适当的更改。技术仍然是一门基本的人类学科，与您合作的人仍然容易受到欺骗和粗心大意的影响。几乎所有的网络攻击都涉及社会工程学，使用密钥来维护 API 安全可以改善人为错误因素，从而确保您的数据安全。使用 API 密钥来维护安全的服务器到服务器通信可以让您始终掌控安全。

3. 维护安全，维护信任

妥善管理您的数据和客户的数据是建立信任的关键。令人震惊的是，41% 的公司拥有超过 1,000 个敏感数据文件，例如信用卡号和健康记录，这些数据完全没有得到保护。随着后疫情时代网络犯罪空前猖獗，开发人员现在需要比以往任何时候都更加意识到，他们的安全是重中之重。

使用 Auth API 将 API 密钥付诸实践

了解技术是一回事，知道如何采取行动又是另一回事。API 安全可能听起来很虚无缥缈，但当平均数据泄露成本超过 800 万美元时，安全的服务器到服务器通信的影响突然变得非常明显。

现在您已经了解了 API 密钥、最佳实践以及为什么服务器到服务器安全如此重要，那么您可以采取哪些切实步骤来使用 Auth API 实现这些想法呢？

• 确定您的需求。没有两个组织是完全相同的。确定哪些用户和权限级别可以充分利用您的资源。
• 选择适合您组织的计划。Auth API为单一访问 API 平台直至大型团队提供计划。确定您的 API 安全需求后，请为您的独特组织选择最佳计划。
• 生成和存储 API 密钥。使用 Auth API 的加密密钥生成为您的用户创建和存储安全 API 密钥。
• 记录和管理您的用户。使用 Auth API，您无需花费时间研究记录：他们的第三方审核平台可以检测不良行为者，并每月向您发送一封电子邮件，详细说明您的 API 密钥的常规使用情况，并在检测到异常时立即提醒您。
• 生成、刷新和销毁密钥。您的密钥可能因多种原因而遭到泄露。无论是由于恶意 MITM 攻击、简单的疏忽还是员工流动，您都可能出于多种原因想要生成新密钥、刷新旧密钥或完全删除用户。Auth API 使您只需轻轻一按开关即可执行这些任务，从而使此过程变得轻松无比。
• 保护自己免受恶意攻击。从社会工程到权限提升再到中间人攻击，您已经知道如何使用 API 密钥来帮助保护您的 API 安全，但您是否知道 Auth API 还可以监控和防止分布式拒绝服务 (DDoS) 攻击？通过允许您设置细粒度的速率限制，您可以防止代价高昂且破坏性的攻击得逞。

文章来源：The Best Ways of Securing Server-to-Server Communications (API to API)