2018年，據(jù)報道有6500起數(shù)據(jù)泄露事件，暴露了數(shù)十億條潛在的數(shù)據(jù)濫用記錄。在當(dāng)今的數(shù)字互聯(lián)的世界里，安全幾乎總是企業(yè)的首要任務(wù)，以確保他們的記錄是安全的。對于組織來說，實現(xiàn)API安全更佳實踐以使它們的集成在系統(tǒng)之間傳輸?shù)臄?shù)據(jù)處于嚴格的鎖定狀態(tài)是非常重要的。

 

許多企業(yè)和技術(shù)提供商通過身份和訪問權(quán)限管理來確保數(shù)據(jù)和API的安全。這是確保只有授權(quán)用戶才能訪問某些數(shù)據(jù)集，系統(tǒng)，API等的過程。

 

消息完整性與訪問管理一樣重要。消息完整性是指消息被確認是從“已知”應(yīng)用程序發(fā)送的，并且在傳輸?shù)紸PI的過程中沒有被破壞。這保證了消息的私有細節(jié)不會被看到。

 

1.多因素身份驗證。
訪問管理的一種類型是多因素身份驗證。多因素身份驗證是指應(yīng)用程序在對用戶的憑據(jù)進行了身份驗證之后，向用戶請求一次性使用令牌。此方法可以彌補僅用用戶名和密碼作為憑據(jù)的弱點。   

有些應(yīng)用程序可以通過向用戶發(fā)送消息或讓用戶創(chuàng)建應(yīng)用程序可以驗證的數(shù)字密鑰來實現(xiàn)這一點。只有在應(yīng)用程序以兩種或多種方式驗證用戶之后，用戶才能訪問它。

 

2.基于令牌。
保護應(yīng)用程序和數(shù)據(jù)訪問的另一種方法是通過基于令牌的憑據(jù)。用戶首次使用其用戶名/密碼憑據(jù)訪問身份提供者時，會發(fā)出令牌。從那時起，該應(yīng)用程序只需要發(fā)送令牌，而不是讓用戶通過網(wǎng)絡(luò)共享他們的憑據(jù)(這可能帶來安全風(fēng)險)。

 

大多數(shù)令牌都有一個有效期，可以吊銷。因為令牌是唯一地發(fā)布給每個應(yīng)用程序的，所以即使某個應(yīng)用程序的令牌被吊銷或過期，也可以單獨訪問所有應(yīng)用程序。

 

3.數(shù)字簽名。
確保消息完整性的一種方法是使用數(shù)字簽名。你可以在任何東西上簽名——無論是民事的、法律的還是個人的——簽名都用來記錄交易的真實性。這個概念也已經(jīng)數(shù)字化。

 

在這種情況下，應(yīng)用程序會使用算法和密碼創(chuàng)建簽名。該API使用相同的算法和新的密碼來生成自己的簽名，并將其與傳入的簽名進行比較。當(dāng)接收到匹配的消息時，API將驗證消息是由一個已知的應(yīng)用程序發(fā)送的，并在傳輸過程中保持其完整性。這是因為只有一個已知的應(yīng)用程序才會生成相同的簽名并維護該簽名——這與第三方篡改簽名不同。

 

4.公開密匙加密
另一種確保消息完整性的古老方法是加密。公開密匙加密是一種對消息進行加密的方法，如果沒有相應(yīng)的密鑰，則幾乎無法解碼該消息。

 

加密有兩種形式：對稱和非對稱。對稱是指客戶端和服務(wù)器共享相同的密鑰來加密和解密消息。非對稱是指服務(wù)器向客戶機發(fā)出一個公鑰，允許它對消息進行加密，但保留一個可以解密消息的私鑰。本質(zhì)上是用一個密鑰來鎖定消息，用另一個密鑰來解鎖它。

 

5.數(shù)字證書。
數(shù)字證書是一種促進客戶端和服務(wù)器之間通過網(wǎng)絡(luò)進行安全傳輸級通信的方式，以便服務(wù)器可以向客戶端進行身份驗證。發(fā)生這種情況是因為證書將有關(guān)服務(wù)器的信息與有關(guān)擁有服務(wù)器的企業(yè)的信息綁定在一起。證書由客戶端信任的證書頒發(fā)機構(gòu)進行數(shù)字簽名。