保护您的API安全：验证API密钥并使用作用域

当您为构建 API 时，确保这些请求的安全性至关重要。本文将探讨如何验证 API 密钥、保护 API 安全，以及第一方和第三方 API 的不同安全需求。

什么是 API？

API 是“Python 脚本，还是从 Web 服务器请求用户数据的移动应用程序，API 都需要明确的传输和消息格式。

通常，Web API 的实现包括以下技术：

传输层：使用 TLS 和 HTTP（实际上是基于 TLS 的 HTTP）。
消息格式化层：使用 JSON 和 HTTP 标头。

Web API 的基本组成

任何 Web API 都包含以下几个核心实体：

客户端：发出请求的软件程序。
API 服务器：提供受保护数据或功能的服务器。
API 密钥：客户端的唯一标识符，用于验证客户端身份。
中央机构：负责发布和管理 API 密钥。

为了更好地理解 API 的工作原理，本文以 Pied Piper Todo 管理系统（PPTMS）为例。该服务允许用户创建、更新和删除待办事项。用户可以通过 API 访问自己的待办事项，但不能访问其他用户的数据。

API 身份验证的必要性

API 身份验证的核心目标是确保只有经过授权的用户或程序才能访问数据或功能。以下是 API 身份验证的关键要求：

身份验证：验证请求的发起者身份。
数据保护：确保 API 密钥在传输和存储过程中不被泄露。
性能保障：身份验证过程必须高效，不能影响 API 的可用性。

API 密钥通常是由中央机构分配的高熵随机字符串，能够在安全性和性能之间取得平衡。

API 保护选项

为了保护 API，您需要验证 API 密钥的有效性。以下是三种常见的验证方法：

无需身份验证：适用于公共 API，例如只读数据接口。
集中式验证：由中央机构验证 API 密钥的有效性。
去中心化验证：API 服务器自行验证 API 密钥的有效性。

无保护的 API

对于无需身份验证的公共 API，所有用户都可以访问相同的数据或功能。这种方式适用于只读数据接口，但通常不适合需要修改数据或涉及用户隐私的场景。

集中式 API 密钥验证

集中式验证通过中央机构对每次 API 请求进行验证。这种方法的优点包括：

灵活性：可以轻松迁移验证机制。
撤销支持：可以快速撤销失效的 API 密钥。

然而，集中式验证也存在性能瓶颈，因为所有请求都依赖于中央机构的高可用性。

去中心化 API 密钥验证

去中心化验证通过签名令牌（如 JSON Web Token, JWT）实现。API 服务器可以使用公钥验证令牌的真实性，而无需每次请求都与中央机构通信。这种方法提高了系统的可扩展性，但令牌的撤销管理相对复杂。

第一方与第三方 API 的安全性

第一方 API 通常由同一组织控制，而第三方 API 则涉及外部开发者的接入。对于第三方 API，您需要更加精细地管理权限，并确保用户对数据访问的控制权。

第三方 API 的认证要求

第三方 OAuth 作用域（Scopes）来定义权限。作用域是描述 API 客户端可以执行哪些操作的字符串。例如：

todo-read：允许读取待办事项。
todo-write：允许创建或更新待办事项。

在用户授权第三方应用访问其数据时，系统会提示用户同意所需的作用域。为了遵循最小权限原则，第三方应用应仅请求执行操作所需的最小权限。

设计作用域的最佳实践

在设计作用域时，您需要考虑以下几点：

功能聚合：作用域应覆盖一个完整的功能块。
权限最小化：避免设计过于宽泛的“超级用户”权限。
用户可理解性：作用域描述应清晰易懂。
避免重叠：确保作用域之间没有冲突。
灵活扩展：为未来的功能扩展留出空间。

总结

保护 API 密钥验证方法，根据需求权衡性能和安全性。此外，对于第三方 API，使用数据的安全性。

通过合理设计 API 的身份验证和授权机制，您不仅可以提升系统的安全性，还能为用户提供更好的体验。

原文链接: https://fusionauth.io/blog/securing-your-api