API安全设计与防护指南

API安全设计与防护指南 1. API接口类型 1.1 按调用方式分类 1.1.1 服务端对API调用 直接调用 ：使用REST、SOAP等协议直接调用API 间接调用 ：通过API服务提供商提供的服务端SDK访问API SDK封装通用接入算法 不包含业务逻辑 降低接入开发难度 1.1.2 客户端对API调用 直接调用 ：客户端应用直接调用API 间接调用 ：通过API服务提供商提供的移动终端应用SDK访问API 1.2 按使用范围分类 1.2.1 内部API(Private APIs) 企业内部信息系统间的API 促进业务系统间信息互通 仅供企业内部使用 1.2.2 企业定制API(Partner APIs) 企业与特定合作伙伴间的定制集成 支持特定业务流程或产品 可能使用专有网络通信 示例：银行"银企直联"模式 1.2.3 外部API(Public APIs) 面向广泛应用方提供的标准接口 深入广泛地面向外部合作者提供服务 安全测试中最常见的类型 2. API接口安全级别 2.1 A2类接口（高安全级别） 涉及范围 ： 资金交易相关接口 个人信息查询/删除/变更 账户信息查询/删除/变更 防护要求 ：实施高等级安全保护 2.2 A1类接口（通用安全级别） 涉及范围 ： 产品介绍类接口 服务信息查询类接口 特点 ： 不涉及资金交易 不涉及个人信息/账户信息 防护要求 ：采取通用等级安全保护 3. 接口安全设计要素 3.1 关键变量 App_ ID ：应用唯一标识 通过开发者平台申请获取 或由API服务提供方主动下发 App_ Secret ： 通过开发者平台申请获取 或由API服务提供方主动下发 与App_ ID成对出现 需严格保密，不网络传输 需定期更新 数字证书 ： 向专业CA机构申请 用于A2级别接口的双向认证、抗抵赖 3.2 安全要点 3.2.1 认证和鉴权 目的 ：防止接口被任意应用调用 认证方式 ： App_ ID + App_ Secret App_ ID + 数字证书 App_ ID + 公私钥对 上述组合方案 A2级别特殊要求 ： 必须使用数字证书或公私钥对 进行双向身份认证 3.2.2 加密和签名 A1级别接口流程 客户端 ： 构造字符串： str="URL=xx&App_ID=xx&Request_Parameter=xx&timestamp=xx&nonce=xx" 计算签名： sign=HMAC(sort(str), AppSecret) 数据加密： Cipher_str=AES_Encrypt(str+sign) 传输加密数据： Cipher_str 服务端 ： 解密消息： str+sign=AES_Decrypt(Cipher_str) 检查timestamp和nonce防重放攻击 常规漏洞防护检测 根据App_ ID查询AppSecret并验签 根据验签结果决定接收/拒绝请求 可能返回access_ token供后续使用 A2级别接口流程 客户端 ： 构造字符串： str="URL=xx&App_ID=xx&Request_Parameter=xx&timestamp=xx&nonce=xx" 计算签名： sign=HMAC(sort(str)) 数字证书签名： new_sign=数字证书签名(sign) 使用服务端公钥加密： Cipher=ServerPublicKey(str+new_sign) 传输加密数据： Cipher 服务端 ： 使用私钥解密： str+new_sign=ServerPraviteKey(Cipher) 检查timestamp和nonce防重放攻击 常规漏洞防护检测 使用应用程序公钥验签，完成双向认证 根据验签结果决定接收/拒绝请求 3.2.3 常规漏洞防护 防护措施 ： SQL注入防护 XSS防护 RCE(远程代码执行)防护 实现方式 ： 使用开发框架提供的安全函数 使用开源安全开发SDK 3.2.4 数据合法性校验 校验内容 ： 参数长度 参数类型 业务场景合法性 特点 ：每个系统有自定义验证规则 3.2.5 API限流 目的 ： 防止API被攻击 防止数据泄露 防止拒绝服务攻击 实现方式 ： 分析监测API调用频率 识别异常调用模式 实施限流措施 4. 安全实践建议 分级防护 ：根据API安全级别(A1/A2)实施不同强度的安全措施 密钥管理 ：严格保护AppSecret，定期更新，避免网络传输 双向认证 ：对A2级别接口必须使用数字证书或公私钥对 全面加密 ：根据安全级别选择对称或非对称加密算法 防重放攻击 ：使用timestamp和nonce机制 持续监测 ：实施API调用频率监测和限流措施 漏洞防护 ：对所有输入进行常规安全检测 合法性校验 ：建立全面的数据校验机制