数字经济时代，无论是互联网商业创新还是传统企业数字化转型，都在推动 API 数量与应用范围的爆发式增长。从只用于企业内部服务调用的 1.0 时代，到面向服务架构的 2.0 时代，再到如今成为开放平台和云原生微服务的 3.0 时代，API 正在成为数字世界的基础设施，在企业的业务体系中发挥着越来越重要的作用。

福兮祸之所倚，API 在给企业数字化转型带来巨大便利的同时，也带来了新的安全挑战。由于其开放的特性，API 成为了网络攻击的重灾区。Facebook、LinkedIn、Twitter……都因 API 安全问题遭遇了超大型数据泄露事件。如何对 API 进行安全防护，应对越发猖獗的 API 攻击，已经成为企业不得不面对的问题。

OWASP API Security Top 10 解读

API 安全的重要性早就得到了网安业界的高度重视。OWASP 在 2019 年首次提出了 API Security Top 10，总结了 API 安全面临的十大风险，为企业的 API 安全防护提供了重要参考。随着 API 安全形势的不断变化、相关安全实践的不断加深，OWASP 在 2023 年发布了 API Security Top 10 的内容更新。相比 2019 的旧版本，此次更新进一步强调了 API 攻击场景与 WEB 攻击的差异化，突出 API 授权管理、资产管理、业务风控等问题。

通过新旧版本的对比，我们能直观的看到 API 安全风险的变化趋势：

在 2023 年的 API Security Top 10，认证和授权相关的风险占了 4 条，分别是对象级别授权失效 BOLA（API 1）、身份认证失效（API 2）、对象属性级别授权失效（API 3）、功能级别授权失效（API 5）。API 漏洞与攻击相关的风险占了 3 条，分别是资源消耗无限制（API 4）、服务端请求伪造 SSRF（API 6）、缺少对自动化威胁的防护（API 8）。API 资产管理与安全配置相关风险占了 3 条，分别是错误的安全配置（API 7）、存量资产管理不当（API 9）、不安全的第三方 API（API 10）。

明确了 API 面连的安全风险，API 安全防护的要点也就呼之欲出：

1.强化 API 访问鉴权，实现最小化授权

将访问鉴权的范围从“人”扩展为“人+机”，基于身份信息实现最小化的 API 访问授权，避免攻击者利用 API 授权漏洞，非法获取敏感数据或者完全掌控账户（API 1），伪造和盗用合法身份信息（API 2），越权访问信息和资源（API 3），非法获取 API 请求（API 5）。

2.监控 API 访问流量，实时发现并阻断攻击

实时监控 API 访问流量，及时发现异常访问行为，防范 DoS 攻击（API 4）、内部服务枚举和信息泄露（API 6），自动监测并防御恶意软件、蠕虫病毒、僵尸网络等自动化威胁（API8）。

3.统一管理 API 资产，规范 API 安全设置

建立纵览全局的 API 资产管理体系（API 9），监测 API 安全状态并修补 API 安全漏洞（API10），通过代理 API 实现 API 安全配置的统一管理（API 7），最终建立 API 的全生命周期管理机制。