API 安全为什么如此难搞？

想弄清企业如何建设 API 安全防护体系，先要弄清 API 面对哪些安全威胁。

API，是应用程序之间的交互接口，一旦封装完成，API 就能自动接受请求、发送响应。如果把企业的业务应用视为一家餐厅，那么 API 就是点餐窗口。你作为客人，无需走进厨房告诉厨师你的豆腐脑是甜口还是咸口，只要在窗口说明你的需求，厨师就能按照你的要求做好菜，最终送到你的餐桌。

如果一家企业只有一个 API，API 安全不难保障。如果企业只有一种 API，安全挑战也容易应对。但随着企业的业务应用快速增加、应用的功能越来越丰富、应用的架构越来越复杂，API 的功能、类型、数量开始爆炸式增长。有研究显示，每家企业平均管理超过 350 种不同类型的 API，单个复杂业务应用的 API 数量可达 10W 级。

还是用点餐窗口举例。一家餐厅有上万个点餐窗口，有的窗口专卖汉堡，有的窗口专卖鱼香肉丝；有的窗口谁用都行，有的窗口需要先验明身份；有的窗口一小时接待 1 万人，有的窗口 1 个月没人来......

身为一个中国人，你一定知道，不管多么小的问题，乘以 10W，都会成为很大的问题。如果你是餐厅经理，面对 10W+点餐窗口，是不是一个头两个大？

但这只是 API 安全问题的第一个难点，类似的难点还有很多。每一个 API 都可能存在安全漏洞，有的漏洞没被发现，有的漏洞没来得及修补，每个漏洞都有可能被黑客利用。针对 API 的攻击方式层出不穷，注入攻击、DDoS、信息遍历、乱序攻击……一波还未平息，一波又来侵袭。更让人头疼的是，新的 API 不断上线，老的 API 还没下线，本来就混乱的 API 资产持续扩大……

这些问题最终搅在一起，让企业的 API 像一团麻，总有那解不开的小疙瘩。