pickpoint是俄羅斯一家擁有自助快遞櫃的物流公司,類似於國內的豐巢,顧客可以用這些快遞櫃來存放他們在網上購買的商品。而最近pickpoint遭到了黑客攻擊,在莫斯科有2732個快遞櫃被自動開啟。
現在越來越多的公司通過通過以各種方式對api及其背後的資源的訪問來獲得盈利,像上面例子發生的攻擊事故也層出不窮,那麼有沒有什麼方法來保證api介面的安全性呢?
答案是api閘道器。
簡單來說,api閘道器就是隨著微服務結構的使用頻率增加,應運而生的乙個管理工具:聚合多個不同api的統一出口,同時對api進行流量控制/統計、身份校驗等操作。 有了統一的流量入口,api閘道器就可以在內部服務之間引入訊息安全性,使內部服務更加安全,並且訊息在加密的服務之間來回傳遞。
接下來推薦幾個合格的api閘道器產品
kong:是在客戶端和(微)服務間**api通訊的api閘道器,通過外掛程式擴充套件功能,開源版基本溝通。
eolinker:是國產的閘道器產品,這兩年做的還挺好的,有開源的不同的版本,可以適配各種規模團隊。
對於api安全性的思考
目前的情況下api被很多地方應用,隨之而來的是api的安全性問題。我所認識到的安全性問題有以下幾個方面 1 ddos 拒絕服務攻擊 介面被惡意呼叫,使真實的使用者無法享受到正常暢通的服務。這個比較單純,也比較容易處理,通過ip限制來做,並且輔以一些硬體裝置應該就沒問題了,同時伺服器 商也可以提供相應...
基於http的API的安全性
基於http的api,怎麼保證安全性?當前的資訊系統,安全第一道關卡,當然就是密碼了。api也不例外。要麼就是一次性登入,獲得乙個短期內有效的token 要麼就是每次請求都帶上賬號和密碼。如果是每次都帶上賬號和密碼,那麼api站點必須要求使用https,否則有洩露風險。當然變通方法可以是採用非對稱加...
請不要忽略API的安全性
不管你採用什麼樣的技術或是平台總會輕易遭到攻擊,沒有任何方法可以保證百分之百安全。俗話說 道高一尺,魔高一丈 但你可以做的是達到適當的安全級別並且時刻準備解決安全問題。原文作者ole lensmar發表了一篇博文 please stop ignoring api security 筆者對原文進行了摘...