《API安全实战》API安全：持续攻防实战

伴随企业数字化程度的加深，API（应用程序接口）在Web、移动应用、物联网和后端系统集成等场景中得到广泛应用，导致API数量爆发式增长。然而，由于API接口的开放性和易用性，也给黑客攻击者提供了机会。攻击者可以通过恶意请求和注入攻击等方式对API接口进行攻击，进而获取敏感数据或导致系统崩溃，给企业和社会带来不利的影响。因此，保障API接口的安全性成为保护企业信息安全的重要组成部分。

《API安全实战》是少有的讲述API安全的书籍，通过Web应用、移动云、Kubernetes环境下的微服务、物联网API五个部分来阐述API的安全。书中以虚拟的Natter社交网络为例，并以业务场景不断演进的方式，让读者在其中思考如何设计、构建和维护系统API的安全。本书由浅入深地讲解了通过速率限制、加密、身份验证、审计日志记录和访问控制登录这五种安全措施来解决STRIDE模型中的欺骗、篡改、抵赖、信息泄露、拒绝服务和特权提升这六种基本威胁。

书中展示了各种技术方案的优势和局限性，通过业务场景和API代码示例，告诉读者安全技术领域没有永恒和银弹，安全技术是一个持续的过程。因此，在设计、构建、测试和维护API时，读者可以参考本书和OWASP API Security Top 10 2023来提升系统API的安全性。