认识达内从这里开始

认真做教育专心促就业

合肥达内培训web前端开发API安全防护方法都有哪些

发布：合肥达内软件培训
来源：互联网
时间：2022-09-19 09:21

安全性是每一个企业在开发应用软件的时候都会提出的一个开发需求，而本文我们就通过案例分析来简单了解一下，web前端开发API安全防护方法都有哪些。

合肥达内培训web前端开发API安全防护方法都有哪些

1、按需公开

采用快捷方式将数据模型直接映射到接口是很诱人，但这不仅会产生冗长的响应、增加带宽使用，而且还会暴露用户不需要访问的数据。举个例子：一个/user接口要返回用户信息。它可能只要用户的一些基本信息，而不需要用户的密码/权限。

2、错误消息的配置

除了对API的输入数据进行净化(sanitize)外，还需要对从中产生的信息进行净化。错误消息对用户了解问题的发生至关重要，但要确保不泄漏任何敏感数据。向终端用户提供API内部代码结构的详细信息会为攻击者提供便利，所以一定要确保错误信息的配置不仅能提供足够的信息来帮助用户调试，并提供足够的信息让他们报告问题，但又不足以暴露应用程序的内部工作和敏感数据。

3、不要暴露敏感信息

API开放要建立在保护敏感数据之上，要确保不要在JSONWebToken和缓存中公开细节。JWT(JSONWebToken)body给人一种很安全的错觉，其实它很容易破译。因此，应该避免JTW和缓存中，包含可用于访问应用程序的用户信息。同样的建议也适用于URL，要确保查询字符串不会暴露敏感数据的细节。

4、评估依赖

开发过程中我们并不是完全自己编写代码，大多数情况下，代码很大一部分会包含库、中间件和各种来自外部源的依赖关系。虽然一般情况下我们可以认为流行的软件包是经过实战测试的，但即便如此，并不意味着这些依赖完全避免漏洞。

5、允许用户跟踪和重置身份验证密钥

提高API安全性的另一种方法是允许用户重置他们的凭证并监视使用情况。一个常见的错误是不允许使用者重置他们的API密钥。如果API使用者意外地公开了他们的密钥，或者恶意获取密钥，那么这个问题现在会直接影响你的API。相反，为了保证安全，你可以为他们创建一种管理访问的方法。

6、标准化服务中的认证

我们看到许多API巨头都对它们的API授权和认证过程进行了标准化。我们不妨考虑一种集中的方法，比如使用API网关或专用的入口点来处理身份验证请求。

【免责声明】：本内容转载于网络，转载目的在于传递信息。文章内容为作者个人意见，本平台对文中陈述、观点保持中立，不对所包含内容的准确性、可靠性与完整性提供形式地保证。请读者仅作参考。更多内容请加danei0707学习了解。欢迎关注“达内在线”参与分销，赚更多好礼。

< 上一篇：合肥达内计算机培训Scala编程技术基础知识分享

下一篇：合肥达内零基础培训阅读源码都有哪些方法 >