RESTAPI安全性简介

　　RESTAPI

　　REST是RepresentationalStateTransfer的首字母缩写。这是一种软件架构风格，允许客户端和服务器行为的政府的许多协议和基础特征。应用程序编程接口(API)是一组明确定义的各种软件组件之间的通信方法。一个好的API可以通过提供所有构建块来更容易地开发计算机程序，安全性是否重要，在设计，测试和部署RESTfulAPI时，应该认真考虑安全性方面。在当今的互联世界中-信息通过API与外部利益相关者和内部团队共享-安全是最受关注的问题，也是组织希望在未来几年内解决的最大挑战。根据SmartBear在其2016年API报告中提出的研究：安全性是团队希望解决的首要技术挑战;41.2%的受访者表示安全性是他们希望解决的最大API技术挑战。安全性是预计在未来两年内推动API增长最多的第四大技术领域;24%的API提供商称数字安全性将在未来两年内推动API增长最多。

　　40.4%的API提供商目前正在使用一种工具来测试API安全性随着RESTfulAPI的爆炸性增长，安全层通常是API架构设计中最容易被忽视的层在测试和开发RESTAPI时应考虑安全方面的一些准则，小编将在下面给大家初步的解释。

　　授权

　　使用白名单允许的方法也很重要。应保护敏感资源集合和特权操作。API密钥或会话令牌应作为正文参数或cookie发送，以确保有效保护特权操作或集合免受未经授权的使用。您应该确保HTTP方法对API密钥/会话令牌以及链接的资源，记录和操作集合有效。必须特别为DELETE(删除资源)和PUT(更新资源)等方法定义清除访问权限。这些方法只能由经过身份验证的用户访问，并且对于每个此类调用，必须保存审核。还应注意防止跨站点请求伪造。在这里，人们应该熟悉XSS的预防。认证，重要的是能够验证对某个API的任何调用的真实性。理想的方法是与所有授权用户共享密钥。最简单的身份验证形式是用户名和密码凭证。其他类型包括多因素身份验证和基于令牌的身份验证。

　　审计

　　偶尔，安全相关事件可能发生在组织中。必须对系统进行彻底的审核。这将涉及在所述事件之前和之后编写审计日志。还应记录令牌验证错误，以确保检测到攻击。为了处理日志注入攻击，应事先对日志数据进行清理。输入验证，自动化工具能够在高速时扭曲一个接口。根据“椅子之间存在的问题”(PEBKAC)情景，协助用户非常重要。Web服务应该要求输入高质量的数据(经验证的数据)或有意义的数据。如果不是这种情况，则应拒绝输入。其他选项包括输入清理，在某些情况下还包括SQL或XSS注入。应用程序的输出编码应该非常强大。其他措施包括URL验证，传入内容类型的验证，响应类型的验证，JSON和XML输入验证也应尽可能在字段级别强制执行。例如，如果我们知道JSON包含一个名称，也许我们可以验证它不包含任何特殊字符。另一个方面是尝试遵循URI设计规则，以在整个RESTAPI中保持一致。

　　以上是一些最重要的RESTfulAPI安全准则和问题以及如何解决这些问题。至少尝试使用这些指南，您将体验到更高质量和更安全的RESTAPI服务，并且它将在未来为您带来许多好处。这次就简单介绍到了这里，如果你也了解相关信息欢迎前来与小编交流探讨。