API是解锁企业数据和流程以进行数字消费和交互的构建块,使企业能够轻松共享传统应用程序、网站和设备之外的数字资产。API还使企业能够与其业务合作伙伴进行互动,以创建业务网络,并使外部开发人员通过开发新的应用程序以创新的方式扩展其解决方案能力。
API已成为企业创新和开拓新渠道、合作伙伴生态系统的战略需要,为企业开发API最重要的一个方面就是确保API的安全性。API安全的主要原则可以概括为如下所示:-
识别API调用方:-API不仅应该识别应用程序的用户,还应该识别使用API的应用程序。OAuth已经成为应用程序和网站处理授权的标准方式和最佳实践。OAuth定义了一个开放协议,开源建站系统,允许通过简单和标准的方法对桌面、移动和web应用程序进行安全API授权
减轻网络攻击:-网络攻击是恶意用户试图破坏、暴露、更改、窃取数据或未经授权访问或未经授权使用资产的行为。这些攻击包括注入代码以获取对敏感数据的访问,发送膨胀的数据结构以增加服务器资源消耗,或使用过多的调用淹没目标系统,从而导致拒绝服务。API应该在适当的地方进行检查和验证,以识别代码注入并控制API端点发送或接收的流量速率。
记录所有API交互:-收集和分析API日志有助于识别造成的损害并暴露云攻击,因此所有API交互都应该记录到一个中央数据库中日志服务器。
SAP Cloud Platform,API Management基于OWASP API安全最佳实践提供了许多现成的API安全策略,可根据您的企业需求定制。
在本系列博客中,云服务器价格,我们将展示SAP Cloud Platform API Management的安全策略,云服务器租用,以保护企业安全如图所示的API下图:-
这些API安全最佳实践包括身份验证和授权、流量管理、,检测云威胁/网络攻击,下面将详细介绍零件:-
第1部分-基于IP地址限制对API的访问
第2部分-具有重试时间的速率限制API调用
第3部分-OData批调用的速率限制API调用
第4部分-API响应敏感数据的数据屏蔽
第5部分-JSON威胁防范注入攻击
第6部分-防范注入攻击的XML威胁
第7部分-记录所有API交互
第8部分-防范SQL注入攻击的威胁
第9部分-防范XML外部实体注入攻击的威胁
第10部分-收到威胁时通过电子邮件通知发出警报检测到
第11部分-速率限制并发连接到目标
第12部分-每个开发者的速率限制API调用
,大数据现状,网络云服务器