2018年，據(jù)報(bào)道有6500起數(shù)據(jù)泄露事件，暴露了數(shù)十億條潛在的數(shù)據(jù)濫用記錄。在當(dāng)今的數(shù)字互聯(lián)的世界里，安全幾乎總是企業(yè)的首要任務(wù)，以確保他們的記錄是安全的。對(duì)于組織來(lái)說(shuō)，實(shí)現(xiàn)API安全更佳實(shí)踐以使它們的集成在系統(tǒng)之間傳輸?shù)臄?shù)據(jù)處于嚴(yán)格的鎖定狀態(tài)是非常重要的。

 

許多企業(yè)和技術(shù)提供商通過(guò)身份和訪問(wèn)權(quán)限管理來(lái)確保數(shù)據(jù)和API的安全。這是確保只有授權(quán)用戶才能訪問(wèn)某些數(shù)據(jù)集，系統(tǒng)，API等的過(guò)程。

 

消息完整性與訪問(wèn)管理一樣重要。消息完整性是指消息被確認(rèn)是從“已知”應(yīng)用程序發(fā)送的，并且在傳輸?shù)紸PI的過(guò)程中沒(méi)有被破壞。這保證了消息的私有細(xì)節(jié)不會(huì)被看到。

 

1.多因素身份驗(yàn)證。
訪問(wèn)管理的一種類型是多因素身份驗(yàn)證。多因素身份驗(yàn)證是指應(yīng)用程序在對(duì)用戶的憑據(jù)進(jìn)行了身份驗(yàn)證之后，向用戶請(qǐng)求一次性使用令牌。此方法可以彌補(bǔ)僅用用戶名和密碼作為憑據(jù)的弱點(diǎn)。   

有些應(yīng)用程序可以通過(guò)向用戶發(fā)送消息或讓用戶創(chuàng)建應(yīng)用程序可以驗(yàn)證的數(shù)字密鑰來(lái)實(shí)現(xiàn)這一點(diǎn)。只有在應(yīng)用程序以兩種或多種方式驗(yàn)證用戶之后，用戶才能訪問(wèn)它。

 

2.基于令牌。
保護(hù)應(yīng)用程序和數(shù)據(jù)訪問(wèn)的另一種方法是通過(guò)基于令牌的憑據(jù)。用戶首次使用其用戶名/密碼憑據(jù)訪問(wèn)身份提供者時(shí)，會(huì)發(fā)出令牌。從那時(shí)起，該應(yīng)用程序只需要發(fā)送令牌，而不是讓用戶通過(guò)網(wǎng)絡(luò)共享他們的憑據(jù)(這可能帶來(lái)安全風(fēng)險(xiǎn))。

 

大多數(shù)令牌都有一個(gè)有效期，可以吊銷(xiāo)。因?yàn)榱钆剖俏ㄒ坏匕l(fā)布給每個(gè)應(yīng)用程序的，所以即使某個(gè)應(yīng)用程序的令牌被吊銷(xiāo)或過(guò)期，也可以單獨(dú)訪問(wèn)所有應(yīng)用程序。

 

3.數(shù)字簽名。
確保消息完整性的一種方法是使用數(shù)字簽名。你可以在任何東西上簽名——無(wú)論是民事的、法律的還是個(gè)人的——簽名都用來(lái)記錄交易的真實(shí)性。這個(gè)概念也已經(jīng)數(shù)字化。

 

在這種情況下，應(yīng)用程序會(huì)使用算法和密碼創(chuàng)建簽名。該API使用相同的算法和新的密碼來(lái)生成自己的簽名，并將其與傳入的簽名進(jìn)行比較。當(dāng)接收到匹配的消息時(shí)，API將驗(yàn)證消息是由一個(gè)已知的應(yīng)用程序發(fā)送的，并在傳輸過(guò)程中保持其完整性。這是因?yàn)橹挥幸粋€(gè)已知的應(yīng)用程序才會(huì)生成相同的簽名并維護(hù)該簽名——這與第三方篡改簽名不同。

 

4.公開(kāi)密匙加密
另一種確保消息完整性的古老方法是加密。公開(kāi)密匙加密是一種對(duì)消息進(jìn)行加密的方法，如果沒(méi)有相應(yīng)的密鑰，則幾乎無(wú)法解碼該消息。

 

加密有兩種形式：對(duì)稱和非對(duì)稱。對(duì)稱是指客戶端和服務(wù)器共享相同的密鑰來(lái)加密和解密消息。非對(duì)稱是指服務(wù)器向客戶機(jī)發(fā)出一個(gè)公鑰，允許它對(duì)消息進(jìn)行加密，但保留一個(gè)可以解密消息的私鑰。本質(zhì)上是用一個(gè)密鑰來(lái)鎖定消息，用另一個(gè)密鑰來(lái)解鎖它。

 

5.數(shù)字證書(shū)。
數(shù)字證書(shū)是一種促進(jìn)客戶端和服務(wù)器之間通過(guò)網(wǎng)絡(luò)進(jìn)行安全傳輸級(jí)通信的方式，以便服務(wù)器可以向客戶端進(jìn)行身份驗(yàn)證。發(fā)生這種情況是因?yàn)樽C書(shū)將有關(guān)服務(wù)器的信息與有關(guān)擁有服務(wù)器的企業(yè)的信息綁定在一起。證書(shū)由客戶端信任的證書(shū)頒發(fā)機(jī)構(gòu)進(jìn)行數(shù)字簽名。