到去年末，移動互聯(lián)網(wǎng)的使用量已超過臺式機的使用量。無論是移動消費者，移動工作人員還是移動服務，許多業(yè)務交易的一部分都在移動中完成。旅途中的信任始于身份驗證，但不僅僅是用戶ID和密碼。你真的說你是誰嗎？您可以信任要使用的服務嗎？您可以信任用于訪問該服務的應用程序嗎？您的裝置安全嗎？當您在旅途中時，零信任意味著參與鏈中的每個環(huán)節(jié)，無論是人員，軟件還是硬件，都必須經(jīng)過身份驗證。

　　移動流量就是API流量

我們越來越多的活動和信息正在移動設備上存儲和執(zhí)行。黑客當然不會錯過這一趨勢。來自2019年的報告中指出，一系列犯罪和有針對性的攻擊者團體正在增加對移動平臺的攻擊，而移動安全成熟度水平則落后于傳統(tǒng)平臺，導致攻擊者在受感染的移動設備上的停留時間延長。

同時，過去五年來，互聯(lián)網(wǎng)上的API流量激增。2014年，通過其安全CDN的流量中有47%是API數(shù)據(jù)包，而在2018年，這些API數(shù)據(jù)包已增長到83安全流量的百分比。

在傳統(tǒng)的基于瀏覽器的應用程序中，數(shù)據(jù)處理是在服務器端進行的，結果網(wǎng)頁顯示的狀態(tài)或結構化數(shù)據(jù)很少存儲在瀏覽器中。

相比之下，移動應用程序使用API來發(fā)送和接收數(shù)據(jù)，而該應用程序則管理UI并維護狀態(tài)和設備上的更多數(shù)據(jù)。

認識到API在現(xiàn)代應用程序體系結構中的使用不斷增長，OWASP發(fā)起了API安全項目并于2019年發(fā)布了OWASP Top 10：

· API1：損壞的對象級別授權

· API2：身份驗證失敗

· API3：數(shù)據(jù)暴露過多

· API4：缺乏資源和速率限制

· API5：損壞的功能級別授權

· API6：批量分配

· API7：安全性配置錯誤

· API8：注射

· API9：資產管理不當

API會公開敏感數(shù)據(jù)和關鍵業(yè)務功能，因此，身份驗證和授權自然會在十大風險中扮演重要角色。請仔細注意，如果只有經(jīng)過身份驗證的用戶的經(jīng)過身份驗證的應用程序有權進行API調用，那么其他API安全漏洞也將受到保護，以防止被利用。

　　上下文中的身份驗證

人們常常認為認證只是用戶認證。如果是這種情況，那么黑客將努力收集用戶憑證，接管帳戶并滲透后端服務，并從任何設備或機器人隨意調用API。

在2018年的八個月中，檢測到27985920324次憑據(jù)濫用嘗試。

完全依靠用戶憑證顯然是一個壞主意。還可以考慮許多其他指標：進行API調用的應用程序的身份，設備的時間和位置，以前的API調用的順序，驗證碼，人類行為感知，生物特征等等。

這些因素中的一些因素會限制隱私權，而其他因素可能會給用戶帶來極大的不便。沒有一個因素是足夠的，但是對API調用周圍的更多上下文進行身份驗證將導致更具彈性的身份驗證。

　　應用程序身份驗證作為關鍵上下文指示器

對正在調用的用戶進行身份驗證很重要，但是了解并信任正在調用的應用程序，甚至知道它是真實的應用程序而不是機器人，也是一個重要的上下文指示。

如果您可以確保調用的應用程序是真實的，沒有被篡改并在安全的環(huán)境中運行，那么您已將API調用的有效負載和序列限制為有效應用程序的API和有效載荷，以及使用被盜的外部bot攻擊用戶憑據(jù)已關閉。

不幸的是，API密鑰是用于將應用識別為正版的常見做法。API密鑰太容易被盜，一旦被盜，它們就可以在應用程序外部輕松使用，以任何順序對任何數(shù)據(jù)進行API調用。

　　應用程序證明-更智能的API密鑰

即使API密鑰是安全的，它們也無法防止應用程序被篡改，也無法評估運行時環(huán)境的安全性。應用程序身份驗證需要擴展到靜態(tài)標識之外，并且必須不斷評估應用程序的完整性。

當應用程序身份驗證更加全面和動態(tài)時，通常稱為“軟件證明”，或在這種情況下稱為“移動應用程序證明”。例如，在2019年，宣布了新的PCI安全標準，用于在商用現(xiàn)貨設備上基于軟件的PIN輸入，該標準支持在付款時將客戶PIN輸入到電話或平板電腦等商業(yè)設備中卡是通過小型安全設備處理的。使用軟件證明檢查，而不是依賴于靜態(tài)身份驗證數(shù)據(jù)。

尋找證明變得更加普遍，尤其是在移動環(huán)境中，以確保客戶端應用程序的真實性。

　　采取行動

就像陳詞濫調一樣，一條鏈的強度與其最弱的鏈接一樣強，因此每個鏈接都應經(jīng)過正確的身份驗證。這反映在越來越多的尋求更多上下文因素的推動中，而不僅僅是基本的ID和密碼憑據(jù)。為了確保API安全，必須增強應用程序身份驗證技術。像PCI SPOC規(guī)范一樣，軟件認證將日益成為零信任API安全的要求。

以上就是關于正確獲得身份驗證，確保API安全的全部內容，想了解更多關于API安全的信息，請繼續(xù)關注中培偉業(yè)。