【摘要】本文解读了API安全的重要性,说明了什么是不安全的API,并分享了全面治理的思路方法、API安全架构设计及治理实践思路,希望能够启发读者对API安全开发的思考。
在应用程序开发过程中,API是一个会被经常提及的东西,它的全称是Application Programming Interface(应用程序接口),一般指的是Web API,即:采用HTTP通信协议的API或者是Web应用程序对外提供的API。
API从狭义上可以理解为是一种服务能力,调用方可以利用API很便捷的得到一组相关数据,但却不需要理解其内部的工作机制。
而在大型的软件系统中,API还可以作为不同应用程序之间的一种契约,通过它可以将应用程序进行组装,从而实现业务逻辑更为复杂的功能。
所以,API的设计将变得至关重要,合理规范化的设计,不但能够降低应用程序集成成本,提升软件系统开发效能,还能够增加API的可读性,有助于API的管理维护。
通常API设计思路会遵循如下几点:
| 设计风格 |
统一设计理念,适配应用架构设计,提升开放性 |
| 能力封装 |
对能力进行封装,而不是对数据库操作进行封装 |
| 单一职责 |
尽量做一件事情,通过能力原子化,提升复用性 |