交易所api key如何获取,交易所api是什么

　　

　　 　　

　　

　　原文地址：API安全最佳实践 　　

　　

　　作者：马克米琼 　　

　　

　　译者：HelloGitHub-干小鱼HelloGitHub-鸭鸭 　　

　　

　　虽然本质上使用的是API，但是即使一个API的用户都是内部人员，它可能还是存在安全问题。为了解决API安全性问题，我们在本文中收集了一系列API最佳实践。我希望你能记住这些提示将有助于你将来保护API/Web服务免受入侵。 　　

　　

　　1.使用HTTPS，现在的Web已经不是以前的样子了，标准的HTTP已经不能满足Web安全需求了。并且各大浏览器厂商开始标记不使用安全层的网址。您的API也可以考虑开始这样做——使用HTTPS。HTTPS使用传输层安全协议(TLS)来加密传输。这意味着HTTPS加密客户端和服务器之间的通信。对于API来说，HTTPS意味着从API发送的内容受到第三方的保护，但更重要的是，它意味着访问凭证是安全的。 　　

　　

　　2.身份验证在访问凭证时，避免意外使用API的最直接方法是确保正确的身份验证。身份验证决定了您是否可以访问API以及如何访问API。即使是对外开放的免费API，理论上也应该考虑采用认证策略来保证安全。通过身份验证，您可以限制或删除滥用API的用户，并让用户在必要时重置他们的凭据，从而保护他们的安全。有关API认证的更多信息，请阅读 《三种最常见的认证方法》 . 　　

　　

　　3.授权的作用类似于身份验证。认证和授权的区别在于，认证关注的是API的用户是谁，而授权关注的是他们可以访问什么。例如，免费计划用户可能被授权只能访问所有API的一个子集。当您希望集成社交登录等API时，用户授权允许应用程序从社交平台读取他们的个人资料数据。 　　

　　

　　4.保护端点和资源(对象级授权)。一般来说，我们会通过授权来保护一个/多个端点，但从更长远来看，我们需要确保单个资源的安全性。单一资源的安全性可以防止错误配置的端点级授权访问数据。此外，这也意味着端点本身不受用户类型的限制，而是由资源控制谁可以查看，谁不可以查看。(控制URL操作的权限) 　　

　　

　　5.限速说到安全，我们往往会想到不合适的参观。当然，如何处理不适当的访问对于管理资源也是有用的。限速是一种限制API使用的技术。既经济地保护了资源，又保证了服务器不会因为大量的请求而过载。大多数限速方法都是基于时间的——一般会设置一个计费周期来处理API的整体使用情况，还会使用“突发”方法来限制请求的涌入。如果你看到429 HTTP 状态代码,你被限速了。 　　

　　

　　6.验证和净化输入攻击Web程序的最古老的方法之一是输入，即我们访问数据的方式可能已经改变，但验证任何用户输入的需求没有改变。客户端验证有助于防止错误并改善用户体验，但是API还需要在对输入执行操作之前对其进行验证和清理——清理策略是删除请求中的恶意或无效代码。确保数据符合资源预期的必要条件，例如类型、形式，甚至密码结构。 　　

　　

　　7.通过按需快捷方式将数据模型公开映射到接口很有诱惑力，但这不仅会产生冗长的响应，增加带宽使用，还会暴露用户不需要访问的数据。例如，/用户界面返回用户信息。它可能只需要用户的一些基本信息，而不需要用户的密码/权限。 　　

　　

　　8.除了净化API的输入数据之外，错误消息的配置还需要净化从中生成的信息。消息对于用户理解问题的发生是至关重要的，但是要确保没有敏感数据被泄露。攻击者可以方便地向最终用户提供API内部代码结构的详细信息，因此确保错误信息的配置不仅可以提供足够的信息来帮助用户调试，还可以提供足够的信息供他们报告问题，但不足以暴露应用程序的内部工作和敏感数据，这一点很重要。 　　

　　

　　9.不要暴露敏感信息。API开放应该基于对敏感数据的保护。确保细节不在JSON Web Token 和缓存中披露。JWT(JSON Web Token)体给人一种非常安全的错觉，但是很容易被破译。因此，应避免JTW和缓存包含可用于访问应用程序的用户信息。同样的建议也适用于URL，确保查询字符串不会暴露敏感数据的细节非常重要。 　　

　　

　　10.在评估依赖开发的过程中，我们并不完全自己写代码。在大多数情况下，很大一部分代码将包含库、中间件和来自外部资源的各种依赖。虽然总的来说，我们可以认为流行的软件包都经过了实战测试，但即便如此，也不代表这些依赖完全避免了漏洞。因此，确保你已经评估了API的依赖关系——它们维护得好吗？你用的是最新版本吗？有什么历史问题？也许最重要的事情 　　

情是想一下：真的需要一个库来实现你正在做的功能吗?

　　

11、允许用户跟踪和重置身份验证密钥提高 API 安全性的另一种方法是允许用户重置他们的凭证并监视使用情况。一个常见的错误是不允许使用者重置他们的 API 密钥。如果 API 使用者意外地公开了他们的密钥，或者恶意获取密钥，那么这个问题现在会直接影响你的 API。相反，为了保证安全，你可以为他们创建一种管理访问的方法。

　　

12、标准化服务中的认证我们看到像谷歌、微软和亚马逊这样的 API 巨头都对它们的 API 授权和认证过程进行了标准化。我们不妨考虑一种集中的方法，比如使用 API 网关或专用的入口点来处理身份验证请求。

　　

遵循 OWASP 标准指南除了这些最佳实践之外，可以考虑采用开放式 Web 应用程序安全项目（Open Web Application Security Project，缩写 OWASP）的建议。他们提供了特定平台的指导，以及即将推出的特定 API 的指导――API 安全 Top 2022 10。除了在代码层面保护 API 之外，还需要确保正确配置服务器和基础设施，以避免未经授权的访问。