API安全的发展趋势展望

【51CTO.com快译】如今，应用程序编程接口(API)已经变得非常流行了。各个企业的应用开发都深度依赖于它们之间的相互调用，以支持新产品和服务的按时交付。与此同时，随着API绝对数量的增加，在互联网络上传递的数据量也正在呈指数级地增长。

不过，这些海量数据中，往往会包括诸如：用户详细信息、电子邮件、以及密码等敏感且隐私的数据。例如：通过使用Facebook的某些API(请参见：https://developers.facebook.com/docs/graph-api/)，您完全可以访问到大量用户的照片、位置之类详细的信息。由于网络世界用户之间的不可见性，这些敏感数据很有可能会被非法分子用于多种恶意的用途。因此，我们在日常的应用开发过程中，应当时刻专注API的安全性，通过安全编码等技术手段，构建出安全可靠的程序API。

API安全性日益受到关注

根据SmartBear最近进行的一项研究显示(该研究发布了API现状报告，请参见：

https://smartbear.com/resources/ebooks/the-state-of-api-2019-report/)：

在受访并给予回应的对象中，有41.2%的人认为：安全性是他们的API所面对的最大技术问题，而且是当务之急。他们希望在自己的软件产品中不要出现与API安全性相关的漏洞。

在被普遍认为需要改善和提高的API相关领域，安全性排名第四。

有超过40%的API提供者会使用某种工具，来获悉当前API的安全态势。他们希望能够快速且全面地发现潜在的安全漏洞。

目前，API技术已经渗透到了各个行业，乃至各种业务策略的制定环节。其中，最为常见的API当属REST、SOAP、以及ASYNC API。另外，随着物联网的迅速发展，全新的智能化API也在不断地涌现。这些API充当了智能设备和互联网之间的接口作用。那么，到底API是如何做业务趋势以及深度融合发挥作用的呢?通过如下三个方面，我们可窥一斑：

为了让客户获得更好的服务体验，银行机构正在采用、甚至迁移到API式的敏捷模型中，以实现高效、强适应性的金融安全架构。

医疗保健行业的从业人员通过各种可用的AP​​I，向患者和客户提供集成化的医疗保健服务，并能提高自身产品的互操作性。

零售商正在使用API​​为其客户提供更加智能化的电子商务平台，例如：多元化的移动支付应用等。

API安全性的当前状态

当前，在互联网上，每天通过各种API传输的大量数据可谓是鱼龙混杂。有的是一些公众性的普通数据，有的则是需要通过加密的机密性数据。因此，应用开发与维护人员需要和那些看不见的隐形对手进行攻防较量，以确保提前揪出软件产品中的各种漏洞。总的说来，API的安全性隐患主要集中在如下三个方面：

授权、认证与审核机制(一般通过访问控制来应对)。

访问量的负载平衡和速率限制。

通信和网络中的数据隐私问题(一般通过SSL/TLS来应对)。

API的安全展望

根据本人的开发与项目实施经验，我大胆地对API的安全性趋势做出了如下展望，可供您参考与借鉴。

1. DNS安全性(DNSSEC)

在人们运用移动设备访问各类APP的时候，大多数信息都是以未加密的方式，通过无线网络进行往复传输的，因此它们很容易受到截获甚至是攻击。我们需要通过设置SSL或TLS的连接方式，来确保传输数据的安全性。当前，最新的TLS版本为1.3，而大多数网站也都能够通过API的设计，以HTTPS的方式去加密用户的各类敏感信息。

同时，由于几乎所有的网络流量都需要进行标准的DNS查询，因此DNS成为了众矢之的，针对DNS的劫持和中间人攻击时有发生。此类攻击通过将网站的入向流量，重定向到伪造的网站处，进而收集到网站用户的敏感信息，并让企业蒙受损失。

与许多互联网协议相同，DNS系统在设计之初也并未考虑到安全性的相关问题，并且存在着一些设计上的限制。而这些限制在面对技术的快速迭代时，就留下了可乘之机。攻击者很容易出于恶意目的去劫持DNS的查找请求。例如，他们会将用户转发到分发恶意软件、或收集个人信息的欺诈性网站上。

下面是DNS劫持的具体流程：

在上述DNS劫持过程中，攻击者通过恶意软件、或是对某些未授权DNS服务器的修改，来将查询请求重定向到持有其他域名的服务器上。也就是说，您本想访问，却实际上来到了，而且自己浑然不知。

DNS安全扩展(DNSSEC，

https://dzone.com/refcardz/introduction-to-dns-security?chapter=1)是针对此类问题而创建的安全协议。DNSSEC协议通过对数据进行数字签名来保护其有效性，并防止其受到攻击。为了确保实现安全的DNS查找，此类签名必须在DNS查找过程的每个顺序级别上进行。

2. 聚焦安全的API设计

一提到安全，人们往往想到的是复杂性、甚至是不便。因此，API设计的易用性和可扩展性，才是吸引API开发人员、乃至用户的关键战略秘诀。在实践中，当您开始着手为某个微服务构建公开的API时，就应该认真考虑如何设计API的安全性。

只有在设计之初融入了安全性，特别是用户隐私方面的管控，才能节省后续补救与整改的时间和资源。业界著名的RestCase API平台正是通过各种AI和复杂的算法，以方便用户在设计阶段去检查和验证自己的API。同时，它能够给出如何处置API安全性方面的各种建议。

3. 人工智能(AI)驱动的API安全性

（编辑：ASP站长网）