REST API安全指南简介

　　REST是Representational State Transfer的首字母缩写。这是一种软件架构风格，允许客户端和服务器行为的政府的许多协议和基础特征。应用程序编程接口(API)是一组明确定义的各种软件组件之间的通信方法。一个好的API可以通过提供所有构建块来更容易地开发计算机程序。

　　安全性是否重要?

　　在设计，测试和部署RESTful API时，应该认真考虑安全性方面。在当今的互联世界中 - 信息通过API与外部利益相关者和内部团队共享 - 安全是最受关注的问题，也是组织希望在未来几年内解决的最大挑战。根据SmartBear在其2016年API报告中提出的研究安全性是团队希望解决的首要技术挑战; 41.2%的受访者表示安全性是他们希望解决的最大API技术挑战。安全性是预计在未来两年内推动API增长最多的第四大技术领域; 24%的API提供商称数字安全性将在未来两年内推动API增长最多。40.4%的API提供商目前正在使用一种工具来测试API安全性着RESTful API的爆炸性增长，安全层通常是API架构设计中最容易被忽视的层。在测试和开发REST API时应考虑安全方面的一些准则，我将在下面尝试解释。

　　授权

　　使用白名单允许的方法也很重要。应保护敏感资源集合和特权操作。API密钥或会话令牌应作为正文参数或cookie发送，以确保有效保护特权操作或集合免受未经授权的使用。您应该确保HTTP方法对API密钥/会话令牌以及链接的资源，记录和操作集合有效。必须特别为DELETE(删除资源)和PUT(更新资源)等方法定义清除访问权限。这些方法只能由经过身份验证的用户访问，并且对于每个此类调用，必须保存审核。还应注意防止跨站点请求伪造。在这里，人们应该熟悉XSS的预防。重要的是能够验证对某个API的任何调用的真实性。理想的方法是与所有授权用户共享密钥。最简单的身份验证形式是用户名和密码凭证。其他类型包括多因素身份验证和基于令牌的身份验证。

　　DoS攻击

　　在拒绝服务(DoS)攻击中，攻击者通常会发送过多消息，要求网络或服务器对具有无效返回地址的请求进行身份验证。如果不采取正确的安全措施，DoS攻击可以使RESTful API进入非功能状态。今天，即使您的API未向公众公开，其他人也可以访问它。这意味着REST API安全性变得越来越有价值和重要。考虑到有人成功进行DoS攻击，这意味着所有连接的客户端(合作伙伴，应用程序，移动设备等等)将无法访问您的API。

　　输入验证

　　自动化工具能够在高速时扭曲一个接口。根据“椅子之间存在的问题”(PEBKAC)情景，协助用户非常重要。Web服务应该要求输入高质量的数据(经验证的数据)或有意义的数据。如果不是这种情况，则应拒绝输入。其他选项包括输入清理，在某些情况下还包括SQL或XSS注入。应用程序的输出编码应该非常强大。其他措施包括URL验证，传入内容类型的验证，响应类型的验证，JSON和XML输入验证也应尽可能在字段级别强制执行。例如，如果我们知道JSON包含一个名称，也许我们可以验证它不包含任何特殊字符。

　　另一个方面是尝试遵循URI设计规则，以在整个REST API中保持一致。以上是一些最重要的RESTful API安全准则和问题以及如何解决这些问题。至少尝试使用这些指南，您将体验到更高质量和安全的REST API服务。以上就简单介绍到这里，有什么不了解的欢迎前来与小编交流探讨。