提高 API 安全性的另一种方法是允许用户重置他们的凭证并监视使用情况。一个常见的错误是不允许使用者重置他们的 API 密钥。如果 API 使用者意外地公开了他们的密钥,或者恶意获取密钥,那么这个问题现在会直接影响你的 API。相反,为了保证安全,你可以为他们创建一种管理访问的方法。
12、标准化服务中的认证我们看到像谷歌、微软和亚马逊这样的 API 巨头都对它们的 API 授权和认证过程进行了标准化。我们不妨考虑一种集中的方法,比如使用 API 网关或专用的入口点来处理身份验证请求。
遵循 OWASP 标准指南除了这些最佳实践之外,可以考虑采用开放式 Web 应用程序安全项目(Open Web Application Security Project,缩写 OWASP)的建议。他们提供了特定平台的指导,以及即将推出的特定 API 的指导——API 安全 Top 10。除了在代码层面保护 API 之外,还需要确保正确配置服务器和基础设施,以避免未经授权的访问。
译者有话说:本文的最后一段作者安利了自家产品,因此译者不做翻译,本文若有任何更佳的翻译,欢迎留言交流^^
加入 HelloGitHub 的「译文亦舞」系列 要求:
平时阅读 GitHub、开源、编程、程序员 的英文资讯和文章
每月至少翻译或校正 1 篇文章
翻译不失原味且通顺
了解 Markdown、排版规则