Akamai：2024年API安全基本现状增长知识保护企业（24页）.pdf

1、白 皮 书API 安全基本现状：增长知识，保护企业|2前言API 已从一种实施细节迅速演变成具备战略价值的数字化创新推动力。每当有客户、合作伙伴或供应商与企业进行数字互动时，后台都会有相应的 API 来帮助实现数据的无缝交换。随着 API 数量激增，风险也随之增大。当今企业争相快速创建和发布新的应用程序和 AI 增强型服务，然而匆忙之下，API 往往出现配置错误、缺乏安全控制措施，导致攻击者可以轻而易举地对其发动攻击。因此，API 已经成为主要攻击媒介，许多安全团队不得不努力恶补，以完善 API 安全策略。因此，API 安全防护迅速成为 IT 和安全主管的首要任务。无论您是想了解 API 安全

2、基础知识，还是想整理一份合适的提问清单，本指南都能为您提供必要的详细信息，包括：API 的不同类型 API 安全对当今企业意味着什么 应对 API 安全风险的最佳实践 常见的 API 攻击和滥用方法您可以直接查看第 10 页上的 API 安全最佳实践。|3目录API 基础知识API 安全风险和滥用API 安全解析API 安全解决方案和趋势|4API 基础知识什么是 Web API？Web API 应用程序编程接口(API)由已定义的请求响应消息系统的一个或多个端点组成，通常以 JSON 或 XML 表示，并通过网络（最常见的是基于 HTTP 的 Web 服务器）对外开放。换句话说，大多数人听到

3、“API”时想到的就是 Web API。它是端点的集合。端点由资源路径、可对这些资源执行的操作，以及资源数据的定义（JSON、XML、Protobuf 或其他格式）组成。Web API 不同于其他 API（例如操作系统或在同一台机器上运行的应用程序库所公开的 API），但“API”这个通用术语通常是指基于 HTTP 的(Web)API，尤其是在企业数字化转型和 API 安全领域。最常见的 API 类型有哪些？下面的术语表解释了 API 实施中用到的各种 API 使用模式和技术方法。Web API 的定义是基于 HTTP 的 API，目前常见的四种主要类型是 RESTful、SOAP、Graph

4、QL 和 gRPC。表中给出了这些常见类型及其他类型 API 的定义。|5API 使用模式描述公共 API通过互联网向所有开发人员免费提供和共享的 API 外部 API此类 API 是通过互联网开放的 API，这个术语通常可与“公共 API”互换使用 私有 API在受保护的数据中心或云环境中实施的 API，供受信任的开发人员使用 内部 API 这个术语通常可与“私有 API”互换使用第三方 API 提供对第三方专门功能和/或数据的编程访问，以在应用程序中使用 合作伙伴 API 一种第三方 API，有选择地提供给已授权的业务合作伙伴使用 经过身份验证的 API 只有已获准访问的开发人员才能访问的

5、 API（攻击者可能窃取凭据而对这类 API 进行未经授权的访问）未经身份验证的 API 无需特定凭据也可通过编程方式访问的 API HTTP API 这类 API 使用超文本传输协议作为 API 调用的通信协议 |6RESTful APIRESTful API 易于供现代前端框架（例如 React 和 React Native）使用，并可促进 Web 应用程序和移动应用程序的开发；它们已成为各类 Web API（包括用于 B2B 的 Web API）的事实标准GraphQLGraphQL API 是 Facebook 开发的较新标准，通过单个 POST 端点（通常为/graphql）提供数据

6、库访问能力；它解决了 RESTful API 的一个常见问题，即填充一个用户界面页面时需要执行多次调用SOAPSOAP 使用详细的可扩展标记语言(XML)进行远程过程调用(RPC)。在旧版 API 中仍然可以找到它XML-RPCXML-RPC 是通过互联网进行过程调用的一种方法，使用 XML 进行编码并用 HTTP 作为通信协议gRPCgRPC API 是 Google 开发的 HTTP/2.0 高性能二进制协议，主要用于东西向（内部网络内部的）通信OpenAPIOpenAPI 是 API 的一种描述和文档规范。还有两个术语比较重要Swagger 指的是原始规范，而 OpenAPI 指的是 O