面對常見的OWASP十大威脅、未經授權的訪問、拒絕服務攻擊、以及竊取機密數據等類型的攻擊，企業需要使用通用的安全框架，來保護其REST API，并保證良好的用戶使用體驗。本文向您介紹四種類型的API安全保護方式。

管理好API安全性   API的安全性涉及到各種端到端的數據保護，它們依次包括：來自客戶端的請求經由網絡到達服務器/后端，由服務器/后端發送相應的響應，VPS，響應橫跨網絡，最后到達客戶端，這一系列的過程。因此，API的安全性可以大致分為如下四種不同的類別，我們將逐一進行詳細討論：  

(1)傳輸中的數據安全  

· 保護客戶端與API網關之間的動態數據  

· 保護API網關與后端服務之間的動態數據  

(2)訪問控制與抵御拒絕服務(DoS)攻擊  

(3)身份驗證與授權：使用OAuth2.0或OpenID Connect，來可靠地識別最終用戶的信息  

(4)數據保密與屏蔽個人身份信息(Personally Identifiable Information，PII)   1. 傳輸中的數據安全   對于所有公共且不受保護的API來說，我們必須用到TLS。如今隨著硬件的進步，TLS的實施開銷幾乎可以忽略不計了，而且隨著延遲在逐漸減小，越來越多的最終用戶會處于安全考慮而選用TLS。總的說來，TLS具有如下主要特點：  

· TLS應當在北向(northbound)和南向(southbound)端點同時實施。  

· 應確保使用TLS的最新版本，并對客戶端、API網關和目標后端予以支持。  

· 證書密鑰、以及信任憑證的存儲都應該受到高度保護和加密。  

· 只有經過授權的用戶才能訪問證書密鑰、以及信任憑證。   2. 訪問控制與抵御拒絕服務(DoS)攻擊  

(1) 網絡級別的防御:如果API網關被托管在云端，則需要使用由云服務商所提供的 DDoS防御機制，例如：由Apigee(Google)所運營的Apigee Edge托管云平臺、 GCP(Google云平臺)和AWS(Amazon Web)，它們都提供了網絡級別的DDoS防御。  

(2) 內容交付網絡：像Akamai、Neustar和Rackspace之類的CDN，都可以用于緩解那些對于API的DDoS攻擊。  

(3) “僵尸”檢測：如今各大API管理平臺都已經針對僵尸/機器人類型的攻擊，推出了檢測API流量，識別各種惡意/非必要請求，并生成警報/阻止惡意請求到達的API網關服務。例如：Apigee(Google)提供了一種稱為“Apigee Sense”的檢測服務。它是一種智能數據驅動的API安全產品，它可以通過自動識別各種可疑的API客戶端行為，以提供額外的保護層。同時，管理員也可以在此基礎上通過糾正性措施，來保證用戶的體驗度，以及后端系統的安全性。  

(4) 策略執行：我們應該在位于API客戶端和客戶后端之間的API代理上，通過強制實施各種策略，以嚴格管控合法用戶對于API的訪問。如下策略能夠在一定程度上保護API免受惡意黑客的攻擊：  

· API速率限制：通過限速，我們可以減少大量導致拒絕服務的API請求，并抑制暴力攻擊和服務濫用。特別是在API代理服務器上，我們可以采用如下限速的機制：  

· 基于應用程序或個別API予以限速，以保證每個API或應用程序只能按照固定的請求數配額，去訪問對應的服務。  

· 基于GET或POST請求予以限速，當然具體的請求數設定，可以根據不同時段的GET或POST量而有所不同。  

(5) 正則表達式保護：應當根據預定義的正則表達式(如DELETE、UPDATE和EXECUTE)來評估入棧請求的URI路徑、查詢參數、包頭、表格參數、變量、XML有效負載、以及JSON負載。任何匹配上了預定義表達式的請求都將被視為威脅，并被立即拒絕掉。請參閱OWASP top 10(https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#OWASP_Top_10_for_2013)，以了解具體有關要如何驗證正則表達式的信息。  

(6) JSON輸入驗證：對于PUT/POST/DELETE之類請求的負載，我們應執行JSON驗證，以通過指定對于各種JSON結構的限制(如最大深度、對象的最大數量、最長字符串長度的名稱、以及數組中所允許的最大元素數等)，來最小化可能受到的攻擊面。  

(7) XML輸入驗證：應當對PUT/POSTE/DELETE之類請求的負載執行XML驗證。具體可使用如下方法來根據配置的限制，以檢測XML負載的各類攻擊、以及監控針對XML的威脅：  

· 根據XML的架構(.xsd)來驗證消息  

· 根據特定黑名單里的關鍵字與模式，來評估消息內容   · 在分析消息之前，檢測出已損壞或格式錯誤的消息