所有文章
> 当前分类:API安全
深入解析API网关策略:认证、授权、安全、流量处理与可观测性
2026/01/29
API网关策略在云原生和微服务架构中至关重要,主要负责接收请求流量并进行处理转发。策略涵盖认证、授权、安全、流量处理与可观测性。认证授权策略如Basic Auth、Key Auth、JWT和OpenID Connect,确保请求合法性和资源访问权限。安全策略包括IP限制、URI拦截、CORS和CSRF防护,有效防范非法访问和攻击。流量处理策略涉及限流、熔断、流量拆分、请求重写和故障注入,保障服务稳定性和灵活性。可观测性策略包括Tracing、Metrics和Logging,助力系统监控和问题排查。这些策略共同提升API网关的性能和安全性,为微服务架构提供强大支持。
FAPI 2.0 深度解析:下一代金融级 API 安全标准与实践指南
【API安全】
FAPI 2.0引入了攻击者模型来定义潜在威胁和安全目标,与1.0版本相比,它采用了不同的设计思路,重点在于通过攻击者模型而非简单地划分基线和高级配置文件的级别。FAPI 2.0的安全配置文件是其基线,建议使用多种OAuth和OpenID规范来防御攻击者模型中定义的威胁。此外,FAPI 2.0进一步提升了令牌的安全性,通过发送方约束令牌确保令牌仅能被指定的接收方使用。消息签名配置文件是FAPI 2.0的高级配置文件,旨在满足攻击者模型中的所有安全目标,并实现消息类型的不可否认性。
2026/01/28
企业 API 安全全解析:责任归属、最佳实践与 Boomi 控制平面管理
【API安全】
API安全是保护API免受未经授权访问和攻击的关键,涉及多个角色和部门的责任。文章探讨了API安全的重要性、常见漏洞、责任归属以及如何通过共享责任模型和最佳实践来加强API安全,包括制定安全指南、提高团队安全意识、实施API交互监控等。
2026/01/27
Snyk Learn 全新 API 安全学习路径:掌握 OWASP API 前十风险与防护策略
【API安全】
Snyk Learn 推出全新的 API 安全课程,专注于 OWASP API 安全风险前 10 名,帮助开发者、安全团队和 IT 专业人士深入了解 API 安全的关键问题。课程涵盖认证问题、数据泄露、注入攻击等核心风险,提供免费学习和结业证书。
2026/01/26
Gcore 收购 StackPath WAAP,增强全球边缘Web应用与API安全能力
【API安全】
Gcore收购StackPath的WAAP解决方案,计划于2024年第三季度整合至其安全产品组合,通过部署在边缘平台提供Web应用防火墙、DDoS防护、机器人防护和API安全功能,增强企业级应用和API安全性。
2026/01/25
使用JWT和Lambda授权器保护AWS API网关:Clerk实践指南
【API安全】
本文详细介绍了如何使用JWT和Lambda Authorizers保护API Gateway的安全。API网关授权器是一种安全机制,允许锁定API端点,仅允许经过授权的请求访问。文章重点介绍了与Clerk兼容的JWT授权器和Lambda授权器,包括它们的工作原理、配置步骤以及如何通过Clerk简化配置过程。
2026/01/24
强化 API 访问控制:基于属性的授权(ABAC)安全实践指南
【API安全】
本文探讨了如何通过基于属性的授权(ABAC)强化API访问控制,提供了一种以业务为中心且更具扩展性的解决方案。ABAC利用多种属性实现细粒度的授权策略,相比基于角色的访问控制(RBAC)更具优势。文章还介绍了如何结合OAuth和ABAC来提升系统的安全性和灵活性。
2026/01/23
亲爱的,你是不是又把API暴露在外了? | 作者:LS – Medium
【API安全】
本文分享了在漏洞奖励计划中发现API暴露漏洞的经验,包括使用模糊测试工具FFUF和SecLists发现隐藏端点、绕过身份验证访问敏感操作如退款和促销代码修改,以及通过参数测试揭示数据泄露。长尾关键词包括API暴露漏洞发现和模糊测试技巧。
2026/01/22
大众汽车API漏洞曝光:利用可观测性保护数据
【API安全】
2024年大众汽车因API配置错误导致80万电动汽车驾驶员敏感数据泄露,暴露个人信息和位置数据,引发隐私风险。文章分析API安全教训,强调实时可观察性重要性,并介绍Treblle工具如何通过实时监控和合规检查防止数据泄露,帮助企业强化API安全实践。
2026/01/22
未认证的API端点可能让你损失数百万!请参考Twilio的案例
【API安全】
未认证的API端点可能导致严重数据泄露,如Twilio的Authy漏洞事件中3300万电话号码被窃取。本文详细解释未经验证API端点的安全风险,包括未经授权访问和数据滥用,并提供保护策略如身份验证、速率限制和使用API安全工具如Treblle,帮助开发者防止类似损失。
2026/01/22
细粒度授权修复关键API安全风险 – Auth0
【API安全】
本文探讨了OWASP API安全十大风险中的对象级授权失效问题,特别是BOLA漏洞的危害及其解决方案。通过分析银行API的实际案例,文章展示了如何通过细粒度授权(FGA)和Auth0 FGA与OpenFGA技术来有效预防BOLA漏洞,确保API安全。
2026/01/22
如何(不)从您的API返回数据 – Treblle博客
【API安全】
本文探讨了API数据泄露的风险,包括隐私泄露、安全威胁和法律风险,并通过Spoutable案例说明不当返回数据可能导致密码哈希、2FA密钥等敏感信息暴露。文章提供了避免泄露的最佳实践,如仅返回必要数据、按需添加数据和增强数据可见性,帮助开发者提升API安全性。
2026/01/21
移动应用中API安全的潜在风险 – Treblle博客
【API安全】
本文探讨移动应用中API安全的潜在风险,包括硬编码API密钥、中间人攻击和身份验证漏洞,并提供解决方案如使用后端代理服务器、HTTPS和可靠授权框架,帮助开发者提升移动应用API安全性。
2026/01/21
使用JSON Web Tokens进行API身份验证(初学者指南)
【API安全】
JSON Web令牌(JWT)是一种用于API身份验证的机制,适用于单页应用程序和无头API,通过Header、Payload和Signature三部分实现安全交互。本文详细介绍了JWT的结构、应用场景和安全性最佳实践,包括使用HTTPS和设置令牌过期时间,帮助初学者掌握JWT身份验证的实现方法。
2026/01/21
1inch与Blockaid合作完成Shield API开发 – 博客
【API安全】
1inch与Blockaid合作推出的Shield API,旨在提升Web3空间的安全性与合规性。该API提供检测并标记诈骗代币、基于机器学习的恶意行为防护、交易模拟与验证等核心功能,帮助用户应对潜在威胁。此外,Shield API还专注于解决反洗钱合规风险,通过全天候地址筛查和数据驱动的安全筛选,为用户提供更全面的安全保障。
2026/01/21
通过绕过限制耗尽Google地图API密钥配额
【API安全】
本文探讨了通过绕过限制耗尽Google地图API密钥配额的方法,分析了API密钥的工作机制和潜在滥用风险,并提供了安全建议如启用HTTP引用限制和设置IP限制来保护API密钥。
2026/01/20
热门话题
文章精选