如何确保API在企业的安全使用

应用编程接口(API)一直是信息安全领域的热门讨论话题，这是有原因的：最近的一些高知名度网站安全泄露事故(包括Pinterest和Instagram)都涉及API.

在2014年1月，Snapchat数据泄露事故导致约460万用户受影响，而该事故的根源就是不安全的API.虽然API并不是直接攻击目标，但API允许攻击者大规模匹配Snapchat用户的手机号码与用户名。

在本文中，我们将探讨不安全的API如何以及为何会给企业及用户构成重大风险，并解释安全团队应该怎样做来提高人们的安全意识、保护现有企业软件中的API,以及如何安全地使用API数据。

什么是API?

API是指一组函数或例程，它们用于完成特定任务或提供简单方法来与软件组件进行交互，通常允许自动化常见流程，例如与在其他机器上运行的服务器进行交互。

API可以是一个库，其中包括例程、数据结构、对象类和变量的规格，或者只是暴露给API使用者的远程调用的规格。一些API是基于国际标准(例如可移植操作系统接口，POSIX)，而另一些则是以开源或供应商文档形式公之于众。例如，微软的Windows API让开发人员能够为Windows平台创建软件。

为了产生潜在收人来源和商业机会，企业正在越来越多地通过API来交付其业务应用程序和数据。此外，Web 2.0也推动了Web API使用量的激增，让用户与程序可以与在线应用程序背后的核心数据进行交互。亚马逊云计算服务就是最好的例子，它使用API来让用户访问其各种服务，例如EC2.

通过公开化API,企业可以提高合作伙伴连接性和云集成，并能够更好地向客户提供服务。同时，第三方也可以开发应用程序，为用户提供额外的功能，并帮助提高企业服务和产品的知名度和部署率。

根据Layer 7 Technologies公司的最新研究显示，超过43%的受访者称其企业目前已经部署了API计划，而27%表示，在未来一年内将会推出这样的计划。Facebook平台就是API取得成功的一个很好的例子;Facebook提供的API让开发人员创建数百应用程序和服务，访问Facebook及其用户的数据，这无疑显着推动了Facebook的发展和成功。

Web API(例如来自Facebook的API)通常是超文本传输协议请求消息，返回结构化响应消息，最常见的是可扩展标记语言或JavaScript对象符号格式。这种API快速取代了基于简单对象访问协议的Web服务和面向服务的架构;因为它们更容易部署，并且更适合创建一个开放架构，以在应用程序和用户之间共享内容和数据。

除了诸多优点外，应用编程接口也存在安全问题，正如最近的安全泄露事故所显示的。安全问题通常不在于API背后的概念，而在于它的编码方式。很多应用开发人员在编写或使用API时没有考虑安全因素，使得应用和数据处于危险之中。当涉及API时，糟糕编写的代码很快就会变成危险代码。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友