api接口风险需谨慎-API接口原理介绍
文章来源:四九八网络发布时间:2020-08-03 15:26:08热度:1728498科技讯:自2019年1月,中央网信办、工信部、公安部、市场监督管理总局四部门联合开展“App违法违规收集使用个人信息专项治理”以来,随着《APP违法违规收集使用个人信息行为认定方法》《个人信息安全规范》等标准规范相继出台完善,App运营者普遍关注和重视App个人信息保护的氛围基本形成,无隐私政策、强制索权、无注销渠道等问题明显改善。
想了解api接口、支付接口相关问题的朋友,欢迎拨打咨询热线:400 0591 498 或者点击留言,498科技免费为大家提供咨询和解答。
关注App安全,一方面要关注App收集使用个人信息流程上的合规,切实保障用户权利,例如App是否有隐私政策,是否在申请权限时进行目的告知,收集个人敏感信息时是否明示告知,是否征得用户同意后收集个人信息,是否可以响应用户的更正、删除等权利等等;另一方面,也要关注App个人信息保护的措施有无落实到位,而要做到这一点,需要App运营者不断“修炼内功”,其实并非易事。
就在近期,Facebook(脸书)再次被曝出由于其API(应用程序接口)可能存在安全漏洞,导致Facebook一个存有2亿余条记录的数据库被公开,有两周时间它可以被任何人访问,其中每条记录包括Facebook用户的ID、姓名以及电话号码等个人信息。无独有偶,新浪微博也被曝出有5.38亿条微博用户信息在暗网出售,其中1.72亿有账号基本信息,包括用户ID、性别、地理位置等。
对此,微博方面回应称此次的数据泄漏源于2019年被黑灰产利用通讯录上传接口进行暴力匹配,通过通讯录、手机号反查微博好友昵称的方式,获取大量账号、昵称、账号与手机信息的绑定关系等。此外,检测评估也发现,个别人脸识别、疫情防控等相关的App、小程序等也因为API接口安全措施不足,大量个人信息存在被非授权遍历、进而导致数据被泄露的风险。
一言以概之,API接口安全一旦出现问题,可能导致的不是一两个、几百、几千个人信息的泄露,而是涉及百万、千万、甚至亿级个人信息的数量,这也是黑灰产盗取大量个人信息的常见渠道。而实际情况是,承载数据交互的API接口往往由于其“不可见”的特点,其安全问题易被App运营者忽略。API接口基本原理如何,为何重要?存在哪些安全风险?应采取哪些安全措施?本文将逐一详解。
API的基本原理和应用场景
App已经被大家所熟知,是移动互联网应用程序(Application)的简称,也是应用层软件向手机终端的延伸,是企业业务场景服务线上客户(To C)的主要渠道。而API则是应用程序接口(Application Programming Interface)的简称,其含义比较宽泛,泛指一组定义、程序及协议的集合。本文主要探讨将前端App界面与后端服务器相连接的一类API,其主要以网络通信方式进行交互,此类API通过预先设定的参数维持前端界面与后台服务器之间的数据互通,是当下应用最为广泛的技术解决方案。
该类API的主要由通信协议、域名、路径、请求方式、传入参数、响应参数和接口文档等部分组成。常见的API的请求方式通常有GET、POST、PUT和DELETE。而API根据使用的协议和架构的不同也可以分为SOAP(简单对象访问协议)API和RESTful(表述性状态传递)API,其中SOAP API是Web服务安全性内置协议,采用保密和身份验证规则集的方式,支持结构化信息标准促进组织(OASIS)和万维网联盟(W3C)制定的标准,它们结合使用XML加密、XML签名和SAML令牌等方式来验证身份和授权,而REST API支持HTTP以及HTTPS两种传输协议,不需要存储或重新打包数据,因此传输速度比SOAP API协议要快得多。简言之,SOAP API更安全,适合处理敏感数据的机构,但同时也更为笨重;而RESTful API更为轻便,但是安全性能有待加强。
API的出现,使得使用不同编程语言、不同操作系统、不同版本的App与后台服务器的交互,以及App之间的交互更加顺畅。API不仅为App的开发提供了便捷,它也是SDK(Software Development Kit,软件开发工具包)与其后台服务端实现交互功能必不可少的组件。
除App和SDK依赖API外,API自身还能被单独包装成一种服务模式。随着移动互联智能化技术的推进,越来越多的企业将服务封装成数据接口进行开放,供第三方开发者使用,这类API接口通常被称为OpenAPI。OpenAPI由于具有标准化、通用性等优势,不断被运用到“快捷”服务场景,比如开放API银行,互联网开放医院等信息化项目中。
可见,API虽然不为大众所知,但在技术、开发人员眼里则是“必需品”,可以说几乎没有人可以绕过其构建信息系统和App。可以预见,API在今后将继续扮演连接用户前台与后台服务的关键桥梁作用,其类型、性能等还将进一步扩展,应用范围还将进一步扩大。
原创作者:四九八科技。禁止转载,本文链接:
您关注的城市合伙人案例
查看更多成功案例
云收单
10年老牌支付专家
新大陆旗下成员企业
400-0591-498
|最新文章
|聚合支付的使用场景
- 餐饮
- 超市
- 酒店
- KTV
|热门关注