常见的安全机制

什么事API
常见的安全机制_第1张图片

API的安全要素有哪些

API的安全基本机制

API安全的目标:CIA

机密性(Confientiality):确保信息只被预期的读者访问

完成性(Integrity):防止未授权的创建、修改和删除

可用性(Availability):当用户访问API时,API总是可用的

常见的API风险:STRIDE

Spopfing:欺骗。伪装成某人

Tampering:干预。将不希望被修改的数据、消息或设置改掉

Repudiation:否认。拒绝承认做过的事。

Information disclosure:信息泄漏。将你希望保密的信息泄漏出来。

Denial of service:拒绝服务。防止用户访问信息和服务。

Elevation of privilege:越权。做了你不希望他能做的事。

风险与安全认证的对应关系

认证:确保你的用户与客户端真的是它们自己

授权:确保每个经过API的访问都是经过授权的

审计:确保所有的操作都被记录,以便追溯和监控。

流控:防止用户请求淹没你的API。

加密:确保出入API的数据是私密的。

常见的安全机制_第2张图片

你可能感兴趣的:(微服务安全实战,API安全机制)