API聚合平臺Apigee的首席安全架構(gòu)師Subra Kumaraswamy與我們討論了API安全的最佳實踐方式。

有了破解版API，我們就有了更多方法來防止API安全漏洞。遺憾的是，通過使用簡單的幾種攻擊方式，黑客們就可以輕松地破壞API。Subra Kumaraswamy是API管理系統(tǒng)的供應商Apigee公司的首席安全架構(gòu)師，同時也是Cloud Security and Privacy(一篇發(fā)自于O'Reilly媒體上的一篇文章)的合作者。他說，為了應對黑客襲擊，開發(fā)人員不得不采用多種方法來保證API的安全性。

[[124919]]

作為Cloud Security Alliance的創(chuàng)始人之一，Kumaraswamy認為，開發(fā)人員必須在API管理平臺中加入一些合適的安全工具，例如速度限制和安全令牌管理。并不是為每一類應用程序定制一種防護方案，Kumaraswamy建議，開發(fā)人員使用API網(wǎng)關(guān)來進行接下來的工作，同時也可以支持全球政策的實施。

這本次采訪中，Kumaraswamy向我們提供了幾點關(guān)于創(chuàng)建API強安全性的幾條建議，其中包括OAuth的使用、提供API密鑰、身份驗證機制、AWS API安全性等等。

在建立API過程中，OAuth框架處于什么狀態(tài)?這種方法是否仍可行呢?

Subra Kumaraswamy:在API安全建設的過程中，OAuth [Open Authorization]框架是大家非常熟悉的一種授權(quán)框架。在向Web 應用程序、桌面應用程序、移動應用程序和物聯(lián)網(wǎng)提供特定授權(quán)功能的同時，OAuth2.0也非常重視客戶端開發(fā)的簡易性。然而，我們需要注意的是，OAuth是一種委托的授權(quán)協(xié)議，而不是真正的授權(quán)協(xié)議。因此，超越OAuth標準的OpenID Connect被列為開發(fā)人員可選方案之中。除了想要對應用程序授以訪問受保護的用戶代表資源外，這些開發(fā)人員還想要以編程的方式來驗證用戶身份。

在API知道哪類客戶發(fā)送請求的情況下，如何選擇并使用最合適的認證方法來登陸本地應用程序?

Kumaraswamy:當本地應用程序中加入終端客戶認證功能后，開發(fā)人員應用采用三腳流OAuth2.0。在此模型中，以之前成功的用戶認證為例，本地應用程序的授權(quán)服務器上含有一個短期的訪問令牌和長期刷新令牌。訪問令牌向API服務提供受保護資源的訪問權(quán)，而使用刷新令牌會更新短期存在的訪問令牌。這種方法可以降低登錄沖突，使用戶與移動應用程序保持連續(xù)的互動。如果出現(xiàn)令牌泄露的事情，開發(fā)人員可以通過使用安全閥而輕松地撤銷訪問令牌和刷新令牌。

開發(fā)人員在提供API密鑰時會犯哪些共同的錯誤?如何避免這些錯誤?

Kumaraswamy:在訪問受保護資源之前，API密鑰需通過API網(wǎng)關(guān)的驗證。一類常見的錯誤是，在提供密鑰時，會賦予平臺操作一些應用程序不需要的特權(quán)，而這種特權(quán)與API產(chǎn)生沖突。例如，如果你向軟件開發(fā)人員暴露了API支付驗證，那么API密鑰應僅限于支付驗證時使用，而不應該被賦予修改支付明細的特權(quán)。

另外一類常見錯誤是，在密鑰沒有配額的情況下就可以無限訪問API。這會引起拒絕服務攻擊，同時通過自動化機器人可以收集到重要數(shù)據(jù)。使用散列法和隨機因子來保護API密鑰證書是一個標準慣例，例如SHA-256或者其他更高的版本。

當創(chuàng)建API安全時，開發(fā)人員還應注意哪些問題?

Kumaraswamy:開發(fā)人員應該以一種API威脅模型開始，在應用模型的基礎(chǔ)上試圖理解威脅的運作原理，例如內(nèi)部API和外部API。他們必須知道有些因素會對API用戶構(gòu)成威脅，例如可信的開發(fā)人員、自行注冊的開發(fā)人員以及其合作者。掌握這些信息后，API設計者和開發(fā)人員必須建立一些合適的安全措施以應對各種威脅。

例如，我們可以看到，API威脅模型中，不可信的開發(fā)人員通過網(wǎng)絡能夠看到一些敏感的數(shù)據(jù)。在此，無論運輸層安全性中的敏感數(shù)據(jù)處于運輸狀態(tài)還是靜止狀態(tài)，開發(fā)人員都要使用加密技術(shù)對實施保護。

開發(fā)人員應該使標準應用程序安全性達到最佳狀態(tài)，例如，通過使用動態(tài)和靜態(tài)的編碼分析工具來測試API中是否存在標準 OWASP Top 10缺陷。最后，開發(fā)人員應該在安全的位置記錄API活動，對任何非正常行為進行定期審核，例如API暴利破解攻擊。

使用AWS API后，安全方面的優(yōu)點和缺點分別有哪些?

Kumaraswamy: AWS API和認證機制是亞馬遜所獨有的，對管理AWS基礎(chǔ)設施即服務資源起到一定的限制作用。使用署名的請求模型(一種基于署名的認證模型HMAC即基于哈希的消息驗證代碼)對AWS(具象狀態(tài)傳輸)API也可以起到保護。HMAC將哈希功能與共享在客戶與AWS之間的對稱密鑰結(jié)合在一起使用。AWS客戶要在請求信息(例如AWS服務、范圍、活動和時間標記)以及共享于開發(fā)人員之間的AWS私有密鑰基礎(chǔ)上簽署每一份API請求。AWS API安全機制對用戶身份進行核查、對REST調(diào)用具有完整的保護性，同時免于再次遭受攻擊。從某種方式來說，AWS認證機制與雙腳OAuth(客戶認證授權(quán))有異曲同工之處。