X

需要云计算吗? 即刻开始体验

Akamai logo
+1-8774252624
+1-8774252624
登录
Control Center
访问 Akamai 平台
Cloud Manager
管理您的云资源
试用 Akamai 产品
遭受攻击?
登录
Control Center
访问 Akamai 平台
Cloud Manager
管理您的云资源

什么是 OpenAPI 安全?

OpenAPI 文档通常以 JSON 或 YAML 格式编写而成,人类和机器都能轻松理解。借助 OpenAPI,DevOps 团队可以自动生成文档并确保其 API 符合行业标准,从而使应用程序能够与其他软件和服务轻松集成。

此外,它还允许开发人员通过制定安全方案(一种指定客户端凭据身份验证和授予 API 权限方法的全局安全定义)来提升安全性。

什么是 API?

应用程序编程接口 (API) 是一组支持不同软件程序和组件进行通信、交换数据和共享功能的协议和定义。通过定义应用程序请求和交换信息的方式,API 使软件系统能够以多种方式进行交互,支持从电子商务和移动支付到社交媒体和 云服务等广泛的功能和交易。

什么是 API 安全?

API 对于包括云服务、微服务和无服务器框架在内的现代计算功能至关重要。但由于 API 会暴露应用程序逻辑和资源,并且可能涉及到敏感和有价值信息的传输,因此非常容易成为恶意攻击者的目标。 API 安全解决方案可以有效防止黑客利用 API 的漏洞,以及利用 API 对 IT 资产和系统进行未经授权的访问。API 安全需要通过一种多层式安全保护方法来实现,其中可能包括身份验证、基于签名的防护、速率限制和节流、 Web 应用程序防火墙以及实施安全策略。

API 安全面临哪些威胁?

主要的 API 安全威胁有以下几种。

  • 漏洞利用攻击 会利用 API 中的某个缺陷,使黑客能够获得对 API 的未经授权的访问权限。
  • 身份验证过程 可能会遭到攻击者破坏,导致 API 接受来自非法或恶意来源的请求。
  • 授权错误 使与 API 交互的客户端能够访问敏感信息,这可能会导致数据泄露。

拒绝服务或分布式 拒绝服务攻击一般是由攻击者发送大量同步请求淹没 API 操作,进而导致 API 异常缓慢或无响应所致。

什么是 API 安全?

开放式 API 业务图表 开放式 API 在商业领域受到青睐,因为它可同时增加创新想法的产生,并且无需直接投资于开发工作。

OpenAPI 规范 (OAS) 是软件开发人员用来构建可与 REST API 交互的应用程序的框架。OpenAPI 规范(以前称为 Swagger 规范)概述了如何与 API 通信、可以请求哪类信息以及将返回哪些信息。OpenAPI 文档通常以 JSON 或 YAML 格式编写而成,人类和机器都能轻松理解。借助 OpenAPI,DevOps 团队可以自动生成文档并确保其 API 符合行业标准,从而使应用程序能够与其他软件和服务轻松集成。

OpenAPI 文档允许开发人员定义 API 的要素,包括:

  • 每个端点的存在和操作
  • 每个操作的输入和输出参数
  • 身份验证技术
  • 联系人列表、元数据、使用条款信息、许可信息、可用文档等信息

作为一种开源框架,OpenAPI 不受创建 API 所用语言的限制。这使得计算机和用户无需额外的文档或访问源代码便可轻松识别和了解 API 提供的功能。归根结底,OpenAPI 规范简化了涉及多种协议、环境和接口的开发流程。

什么是 OpenAPI 安全?

OpenAPI 通过为每个 API 提供易于访问且可读的 API 文档,帮助提升 API 保护能力和 API 网关的安全性。DevOps 团队只有了解了每个 API 端点及其功能,才能更好地预测安全风险和防范漏洞被攻击者所利用。此外,OpenAPI 安全文档还有助于安全团队确定某个 API 是否符合或违反内部安全策略。

OpenAPI 允许开发人员通过制定安全方案(一种指定客户端凭据身份验证和授予 API 权限方法的全局安全定义)来提升安全性。

虽然 OpenAPI 可以用来记录和传达安全需求,但执行和实施安全措施的任务仍需要 API 服务器和基础设施来完成。

OpenAPI 安全有哪五种类型?

OpenAPI 3.0 支持五种安全方案:

  • API 密钥 安全方案使用 API 密钥(客户端在进行 API 调用时提供的访问令牌)。
  • HTTP 身份验证 提供两种身份验证方案。基本身份验证使用标准的 HTTP 身份验证标头。持有者身份验证使用一种称为“持有者令牌”的安全令牌,它是服务器响应登录请求生成的加密字符串。
  • OAuth2 安全方案是一种授权协议,用于向 API 客户端提供有限权限,使其可以访问 Web 服务器上的用户数据。Facebook、Google 和 GitHub 等企业会使用这种 OpenAPI 安全方案。
  • MutualTLS 是一种在服务器和客户端之间使用双向、相互身份验证或授权代码的安全方案,其中客户端会为 API 请求提供受信任的证书。
  • OpenID Connect 基于 OAuth 2.0 协议构建,定义了登录流程,使客户端应用程序能够对用户进行身份验证并获取其信息。用户身份信息采用安全的 JSON Web 令牌 (JWT) 或 ID 令牌进行编码。

OpenAPI 安全面临哪些挑战?

企业和安全团队如果仅仅依赖 OpenAPI 安全,很可能会忽视 API 带来的一系列风险和威胁。

  • OpenAPI 安全无法抵御许多常见威胁。OpenAPI 定义文件不支持在其中创建防范针对 API 逻辑的攻击(其中包括 OWASP 十大 API 安全风险清单中定义的许多威胁)的策略。
  • OpenAPI 安全工具可能无法识别或阻止攻击者连续尝试绕过 OpenAPI 安全模式验证。
  • OpenAPI 安全文档在应用阻止任何异常 API 调用的严格验证技术时,可能会拒绝合法流量的访问。
  • 当使用宽松的验证技术时,OpenAPI 安全工具可能会允许许多不同类型的恶意 API 调用通过验证。

常见问题

OpenAPI 起初是 Swagger 框架的一部分。后于 2016 年划为独立的项目。

OpenAPI 规范由大量的行业领导者和成千上万名开发人员组成的社区提供支持。这种广泛的行业支持可以保证海量代码库的稳定性。OpenAPI 被公认为是定义和创建 RESTful API 的最常用的开源框架。

作为一种与语言无关的规范,OpenAPI 使客户端无需访问服务器源代码或掌握服务器实施方面的相关知识,就能够了解和使用服务。

客户为什么选择 Akamai

Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Akamai 来打造并提供安全的数字化体验,为数十亿人每天的生活、工作和娱乐提供助力。 Akamai Connected Cloud是一个大规模分布式边缘和 云平台,让应用程序和体验更靠近用户,帮助用户远离威胁。

探索 Akamai 的所有安全解决方案

一探究竟