如何设计安全可靠的 API ?下图列出了 12 条原则。
OAuth 2.0 对设计安全可靠的 API 至关重要,因为它能够在
不共享用户凭证
的情况下使用代理来访问资源。它还支持跨多个应用程序和服务的集成,促进了单点登录(SSO),允许用户进行一次身份验证来无缝访问多个服务或应用程序。
WebAuthn 不依赖于集中式服务器或密码数据库。它允许用户注册和使用自己的设备(如安全密钥或生物特征识别设备)进行身份验证, 消除仅依赖密码的弱点 。通过实现 WebAuthn,API 可以符合 FIDO 等安全标准,满足合规要求。
我们通常要针对系统开放的服务接口设计不同的访问权限。分级的 API key 可以提供细粒度的访问控制。比如,在使用 Stripe 时,我们可以给“访问账户”指定一个只读 API Key,给“操作账户”指定另一个 API Key。
这一条和上一条相关。我们需要给系统内部的各种 API 接口设计访问授权, 遵循“最小权限”原则 。
在设计 API 时,需要估计大致容量,并针对容量来限流,从而保护系统。限流的好处有很多,比如防止 DDos 攻击,防止系统过载,合理分配系统资源等。
API 版本控制提供了一种结构化的 API 生命周期管理方法,将 API 的管理提升到代码一个级别,同时确保 向后兼容性 。它使开发人员能够引入新功能而不会破坏用户对于旧版本的依赖。
白名单指定并仅允许预先批准的 IP 地址或用户访问 API。这有助于防止常见的安全威胁,如未经授权的访问、数据泄露、注入攻击等。它提高了潜在攻击者的门槛。
09 定期检查 OWASP API 安全风险清单
The OWASP API Security Top 10 是由 OWASP(Open Web Application Security Project)编制的清单,该组织致力于提高软件安全性。该清单特别突出了与 API 相关的最关键安全风险,旨在提高开发人员、安全专业人员和组织对 API 相关漏洞和威胁的意识,并提供指导,以有效解决这些问题。
API 网关作为 入站 API 请求的集中入口点 。它们能够实施诸如身份验证、授权、加密和威胁防护等安全措施。这种集中化能够在所有 API 中应用一致的安全策略。
有效的错误处理机制使 API 能够优雅地处理意外情况或故障,确保错误得到适当地传达给客户端,提供更好的用户体验。确保返回给客户端的错误消息不会暴露 API 内部运作或基础架构的敏感信息。
无效或格式不正确的输入数据可能导致数据丢失、损坏或系统崩溃。输入验证在设计安全可靠的 API 中至关重要,有助于防止常见的攻击,如 SQL 注入、NoSQL 注入和其他基于注入的漏洞。
VB6.0和vb.Net都有哪些区别啊?
是纯面向对象的开发语言,为了适应 Framework的安全性,进行了不小的调整。 但是关键字修饰符之类的基本没有什么变化,所以您只需要习惯下的强类型,应该是不难转型。 举个简单的例子吧,下是没有“变体类型”这一数据类型的,整型就是整型,字符串就是字符串,像a = 50 + = a这样的代码是不行的,VB6.0支持变体类型,会自动进行类型转换,而下为了保证安全性,会要求程序员自己进行必要的转换。 至于API,框架下对API的依赖性像VB6中那么高,一些API完成的工作可以由一些类库来完成。 API的调用也不是一样的,因为有些API涉及到了“不安全代码”,而且API是用另一种非 语言编写的,所以调用时有些特别的要求。 工作在 Framework下,与VB6的解释执行不同,是编译执行的,下所有的应用程序都被编译成一种“中间语言(MSIL)”的形式,运行时由一种称为即时编译器(JIT)的程序进行二次编译。 可以说既是开发环境又是运行环境,它提供了通用类型系统(CTS)和“公共语言运行时”(Common Language Runtime,CLR),前者为开发时提供了类型支持,下语言中的基本数据类型都来自于这个类型系统;后者为应用程序提供了运行环境,包括JIT、GC(内存垃圾收集器)等等,同时负责代码的运行时安全。
sdk 如何做比较好?
简洁:对于用户而言,一款好的产品应该是简洁易用的,不该让他们花费太长的时间学习。 SDK 也当如此,它不该出现复杂繁琐的对接工作,使用者通过阅读代码和文档,花费很少的时间就能做好 SDK 的对接。
比如当开发者需要使用 SDK 的服务时,只需要在代码中新增一行即可。 在项目中初始化 SDK 只要一行代码,开发者不用关心Context,内部已做好处理,也不用关心同步或异步问题。
稳定:站在 SDK 使用者角度来看,我们期望第三方 SDK 的服务是稳定高效的,体现在提供稳定可靠的服务,同时运行时性能要高效。这就要求我们在设计实现 SDK 时要尽可能做到以下几点:
对外提供稳定的 API。 SDK 的 API 一旦确定,除非特殊情况不可更改,提供方变更 API 的成本非常大。
对外提供稳定的业务。 在提供了稳定的 API 后,必须要有稳定的业务作为支撑。
运行时的稳定。 确保 SDK 自身稳定运行,不能出现因为接入了 SDK 而导致宿主应用不稳定的情况。
版本稳定更新。 SDK 版本迭代非常缓慢,要尽可能对使用者屏蔽迭代过程,避免带来不必要的适配成本。
高效:无论是普通的应用开发还是 SDK 开发,都应该考虑到性能问题,SDK 设计者要着重考虑以下问题:
更少的内存占用。 一般 SDK 和 App 运行在同一进程,此时 SDK 要管理好自己占用的内存,合理分配,注意释放。
更少的内存抖动。 在占用更少内存的前提下,SDK 设计者必须减少频繁 GC 造成的内存抖动问题。
更少的电量消耗。 低电量消耗和高性能表现之间很难做到权衡,可以从 CPU 计算量、屏幕刷新帧率等角度考量。
如何给PHP程序开发API
API,是应用程序接口的英文缩写。 通常API就是一些具体的函数。 比如一个自定义函数:function test(){echo ‘hello world’;}就可以叫做api。 api既可以是单个的函数,也可以是封装在类里的方法,当然它们也是程序代码。 开发一个api的流程可以很简单,也可以很复杂,视具体的编程任务而决定,并没有特定的规则。 比如,你需要为自己建立一个常用的函数库,命名为然后把你自己编写的自定义函数,全部写在这个文件里面,那么,你就拥有了自己的api。 开发的时候,只需要引入,你就可以调用自己的api了。 这是一个比较简单的例子。 稍微复杂一点的,你可以把函数封装在类里面,方便继承和重用,还可以根据函数名称做一些程序设计,这个一句话说不清楚,给一个简单的例子吧:class mylib{function showmy(){echo ‘这是我的一个类方法’;}}调用的时候,先要实例化类,然后再调用方法。
发表评论