API Academy
🌐 繁體中文
  • 🌐 English
  • 🌐 繁體中文
HomePetstore APIExplore more APIs
HomePetstore APIExplore more APIs
🌐 繁體中文
  • 🌐 English
  • 🌐 繁體中文
🌐 繁體中文
  • 🌐 English
  • 🌐 繁體中文
  1. API Security
  • 歡迎
  • 目錄
  • API 學院
    • Get Started
      • 什麼是 API?
      • API 如何運作?
      • 如何呼叫 API?
      • 如何閱讀 API 文件?
      • 章節總結
    • API Fundamentals
      • API 基礎知識:概覽
      • 方法與路徑
      • 參數
      • 請求 Body
      • 回應
      • API 規格與 OAS
      • 章節總結
    • Working with APIs
      • 使用 API:概覽
      • 根據規格發送請求
      • 環境與變數
      • 串聯多個端點
      • 處理 Auth
      • 處理 API 簽名
      • 腳本介紹
      • 章節總結
    • Mocking APIs
      • Mocking API:概覽
      • Smart Mock
      • Mock 預期結果
      • Cloud Mock
      • Mock 腳本
      • 章節總結
    • Designing APIs
      • 設計 API:概覽
      • API 設計介紹
      • 建立您的第一個 API 專案
      • 分析需求並規劃您的 API
      • 設計資料模型
      • 設計端點
      • 使用組件與可重用性
      • 設定與 Auth
      • API 設計指南
      • 章節總結
    • Developing APIs
      • 開發 API:概覽
      • 設定:安裝您的 AI 程式碼助手
      • 快速入門:30 分鐘內從規格到運行的 API
      • 了解生成的程式碼
      • 使用 Apidog 測試您的 API
      • 部署:將您的 API 上線
      • 章節總結
    • Testing APIs
      • 測試 API:概覽
      • 快速入門:您的第一個測試場景
      • 整合測試與資料傳遞
      • 動態值
      • 斷言與驗證
      • 流程控制:If, For, ForEach
      • 資料驅動測試
      • 性能測試
      • 測試報告與分析
      • CI/CD 整合
      • 排程任務與自動化
      • 進階測試策略
      • 章節總結
    • API Documentations
      • API 文件:概覽
      • 發布您的第一個 API 文件
      • 自訂文件外觀
      • 給消費者的互動功能
      • 進階發布設定
      • 管理 API 版本
      • 章節總結
    • Advanced API Technologies
      • 進階 API 技術:概覽
      • GraphQL
      • gRPC
      • WebSocket
      • Socket.IO
      • Server-Sent Events
      • SOAP
      • 章節總結
    • API Lifecycle
      • API 生命周期:概覽
      • API 生命周期的階段
      • API 治理
      • API 安全最佳實踐
      • 監控與分析
      • API 版本策略
      • API 的未來
      • 章節總結
    • API Security
      • API 安全性:概覽
      • API 安全性基礎知識
      • 身份驗證 vs. 授權
      • 了解 OAuth 2.0 和 OpenID Connect
      • JSON Web Tokens (JWT)
      • OWASP API 安全 Top 10
      • 加密與 HTTPS
      • 章節總結
    • API Tools
      • API 工具:概覽
      • API 工具的演變
      • API Clients
      • 命令列工具 (cURL, HTTPie)
      • API 設計和文件工具
      • API Mocking 工具
      • API 測試工具
      • 一體化 API 平台
      • 章節總結
    • API Gateway
      • API Gateway:概覽
      • 什麼是 API Gateway?
      • API Gateway 的關鍵功能
      • API Gateway vs 負載平衡器 vs 服務網格
      • 流行 API Gateway 解決方案
      • BFF (Backend for Frontend) 模式
      • 章節總結
HomePetstore APIExplore more APIs
HomePetstore APIExplore more APIs
🌐 繁體中文
  • 🌐 English
  • 🌐 繁體中文
🌐 繁體中文
  • 🌐 English
  • 🌐 繁體中文
  1. API Security

章節總結

在這個關於 API 安全性 的關鍵章節中,我們探討了保護 API 免受現代威脅所需的機制和最佳實踐。隨著 API 成為軟體的骨幹,它們也成為攻擊者的主要目標。

關鍵概念回顧#

1.
CIA 三角:安全性是關於平衡 機密性 (Confidentiality)、完整性 (Integrity) 和 可用性 (Availability)。
2.
AuthN vs AuthZ:
身份驗證:驗證身份(你是誰?)。
授權:驗證權限(你能做什麼?)。
3.
協議:
OAuth 2.0:授權的行業標準 (Access Tokens)。
OpenID Connect (OIDC):身份的標準 (ID Tokens)。
4.
JWT tokens:用於攜帶身份和聲明 (Claims) 的無狀態、可攜式 Token。對現代微服務至關重要,但需要小心處理(儲存、過期)。
5.
OWASP Top 10:最常見的漏洞,包括破碎的物件層級授權 (BOLA) 和破碎的身份驗證。
6.
加密:HTTPS/TLS 對於保護傳輸中的資料是不可協商的。

安全 API 檢查清單#

是否在所有端點上強制執行 HTTPS?
我們是否使用標準的身份驗證函式庫(而不是自己編寫加密演算法)?
最小權限原則是否應用於 Scopes?
我們是否根據 Schema 驗證了所有輸入?
我們是否只返回必要的資料欄位?
是否啟用了速率限制以防止 DoS?
保護 API 是一個持續的過程,而不是一次性的設定。保持警惕!
下一章:現在我們已經保護了它,我們用什麼工具來建構和測試它?讓我們在 API 工具:概覽 中打開工具箱。
Modified at 2025-12-29 09:35:19
Previous
加密與 HTTPS
Next
API 工具:概覽
Built with