我們之前已經(jīng)探討了API對業(yè)務(wù)的重要性，以及它們在傳統(tǒng)技術(shù)棧中第八層的位置。今天所討論的價(jià)值體現(xiàn)在API以及業(yè)務(wù)和技術(shù)使用它們的方式上。

這不僅僅是指API被用來交換數(shù)據(jù)。定義良好的API描述了流程，包括業(yè)務(wù)和運(yùn)營，能夠?qū)崿F(xiàn)自動化，并為我們發(fā)展和運(yùn)營業(yè)務(wù)的方式帶來新的效率。定義明確的API是業(yè)務(wù)的數(shù)字代表，并為新的市場和商業(yè)模式拓展機(jī)會。

這一點(diǎn)很重要，因?yàn)锳PI所描述的流程(包括業(yè)務(wù)和運(yùn)營)都與數(shù)字世界中兩個(gè)非常重要的概念聯(lián)系在一起：生態(tài)系統(tǒng)和市場。

不難看出，如今大部分?jǐn)?shù)字經(jīng)濟(jì)是由API驅(qū)動的。API使賣家能夠參與到市場中。這些市場是數(shù)字時(shí)代的購物中心，將不同的賣家聚集在一個(gè)單一的、可訪問的地點(diǎn)，以方便購物者。歸根結(jié)底，這是通過API實(shí)現(xiàn)的?！　?/p>

[[437581]]

即使在數(shù)字商場之外，也有一個(gè)不斷增長的生態(tài)系統(tǒng)，使獨(dú)立企業(yè)能夠參與到數(shù)字經(jīng)濟(jì)中。送貨服務(wù)、運(yùn)輸和餐館都在越來越多地使用API，成為數(shù)字生態(tài)系統(tǒng)的一部分，使消費(fèi)者能夠在家里舒適地用手機(jī)購買和支付商品和服務(wù)。

根據(jù)我們的估計(jì)，全球API的數(shù)量(公共或私人)已經(jīng)接近2億。

在企業(yè)內(nèi)部，API也在以指數(shù)級的速度增長。無論是為了實(shí)現(xiàn)基礎(chǔ)設(shè)施即代碼或自動化開發(fā)和部署管道，還是作為微服務(wù)、單體和移動電話之間的主要集成手段，API都在以驚人的速度激增。

雖然這都是好消息，使各種規(guī)模和形狀的企業(yè)都能參與數(shù)字經(jīng)濟(jì)，但如果不把API視為戰(zhàn)略資產(chǎn)，它也會產(chǎn)生后果。

管理不斷增長的API組合

隨著API的不斷普及，企業(yè)能夠有效地管理和控制它們將變得越來越困難。在需要治理的地方有多種考慮，其中包括。

版本管理。這包括API隨著時(shí)間的推移而被淘汰。API版本和功能的不匹配會導(dǎo)致流程的中斷和糟糕的客戶體驗(yàn)。由于向金融機(jī)構(gòu)(包括支付處理商)提供的API過時(shí)而導(dǎo)致的交易失敗，當(dāng)調(diào)用的代碼被標(biāo)記為欺詐的持續(xù)失敗時(shí)，可能導(dǎo)致拒絕訪問。供應(yīng)鏈的崩潰會對服務(wù)的可靠性造成破壞，隨后對整個(gè)企業(yè)產(chǎn)生負(fù)面影響。

API是契約，因此，使用者和提供者都有指定的責(zé)任。企業(yè)需要明確地管理API的版本，并著眼于明確的溝通，如果更新的推出需要相當(dāng)長的時(shí)間，則需要有能力同時(shí)支持多個(gè)版本。清晰的文件和溝通對于API生態(tài)系統(tǒng)和市場的成功至關(guān)重要。

訪問控制。準(zhǔn)確識別API用戶的能力對于抵御欺詐和濫用至關(guān)重要。這在生態(tài)系統(tǒng)中尤為重要，因?yàn)樯鷳B(tài)系統(tǒng)中的通信是應(yīng)用程序與應(yīng)用程序之間的通信，如零售商和市場的支付處理。API是由應(yīng)用程序調(diào)用的，其過程由應(yīng)用程序管理，因此問題不再是 "用戶是一臺機(jī)器"，因?yàn)樗?dāng)然是。問題是，"這個(gè)用戶的行為告訴我他們的意圖是什么--是濫用還是欺詐還是合法?"

企業(yè)需要使他們的API安全方法現(xiàn)代化，并納入現(xiàn)代和適應(yīng)性的安全方法，包括行為分析和內(nèi)容檢查。允許根據(jù)與用戶相關(guān)的風(fēng)險(xiǎn)，超越身份，訪問和調(diào)用API的新方法，將是大規(guī)模解決這一問題的關(guān)鍵。

密碼管理。密碼管理并不是API所特有的，但由于API供應(yīng)商依賴令牌和鑰匙來建立調(diào)用API的權(quán)限，其重要性被放大。越來越多的數(shù)字服務(wù)跨越多個(gè)渠道--從移動到網(wǎng)絡(luò)，跨越多個(gè)后端應(yīng)用，以及多個(gè)地點(diǎn)--從云到數(shù)據(jù)中心到邊緣，這些都放大了管理這些密碼的挑戰(zhàn)。 很多時(shí)候，密碼都是在 "不確定 "的情況下被泄露的。

作為一個(gè)行業(yè)，我們一直依賴傳統(tǒng)技術(shù)來建立身份，并確定對幾乎所有資源的訪問權(quán)。隨著API的數(shù)量和調(diào)用它們的用戶不斷增加，必須管理的令牌和鍵的數(shù)量將變得難以處理。動態(tài)身份驗(yàn)證和授權(quán)將需要消除使用“硬連接”憑證、密鑰和令牌來管理對API的訪問。

API驅(qū)動的經(jīng)濟(jì)依賴于API治理

治理一詞經(jīng)常與安全性聯(lián)系在一起，但實(shí)際上API治理是一種建立框架和護(hù)欄的實(shí)踐，這些框架和護(hù)欄可以改進(jìn)API的開發(fā)和操作。這包括版本管理和文檔以及更多與安全相關(guān)的實(shí)踐。

關(guān)鍵是那些實(shí)踐。沒有任何一種工具能夠管理一個(gè)不斷增長的API組合，也沒有任何一種工具能夠馴服API蔓延這只不斷增長的野獸。實(shí)踐和決心將正確的工具、框架和防護(hù)措施落實(shí)到位，將使各組織能夠在不斷增長的數(shù)字經(jīng)濟(jì)中增加其份額，并安全地快速移動。