Top 12 Tips For API Security

整理From ByteByteGo
https://www.youtube.com/watch?v=6WZ6S-qmtqY

API定義

Cloudflare對API的定義簡而易懂
應用程式開發介面 (API) 是一組規則，允許一個軟體程式將資料傳輸到另一個軟體程式。

12 Tips for API security

1.Use HTTPS

加密傳輸避免竊聽或是中間人攻擊，保護敏感資訊(如Api key、Token、個資)

2.Use OAuth2

讓第三方應用程式(e.g. Google)驗證身分，User取得Token後對API進行調用。好處是因為user不用輸入帳密、後端也不用儲存帳密

3.Use WebAuthn

也稱Web Authentication
WebAuthn是FIDO2標準的一部分,專注於網頁瀏覽器和網站如何實現安全的身份驗證。它允許網站使用公鑰加密技術來註冊和驗證用戶,用戶可以使用各種驗證器,如安全密鑰、指紋識別或人臉識別等生物特徵。

4.Use Leveled API keys

對所有服務都使用同一把API key可能導致風險，所以可針對permission、scope或是Read only/Write/Admin等設定不同的API key，並加上API key過期時間來降低風險

5.Implement Authorization

縱使User通過身分驗證，也要執行Role-base access control
e.g. Viewer、Editor => 最小化特權

6.Rate Limiting

避免惡意攻擊如暴力破解、DoS等，也可維持系統的Performance及可用性

7.API Versioning

透過API版控來更新功能且不影響現有的運作，並針對每一版做好變更管理

8.Allowlisting

預先定義受信任實體來存取服務，e.g.
IP、User ID、API keys

9.Check OWASP API Security Risks

參閱 https://owasp.org/API-Security/editions/2023/en/0x11-t10/

10.Use API Gateway

API Gateway提供了一個集中層(centralized layer)加強安全性，將security policy、Rate Limiting、Authorization整合於API Gateway中，此外也可提供額外功能如流量管理、快取、日誌紀錄、監控等

11.Error Handling

錯誤處理關係到使用者體驗與API安全

• Internal server error => X
• Failed to retrieve user data.Please check that you are authenticated and have sufficient permissions => O

提供所需的資訊而不是曝露敏感資訊

• SQL query failed due to …=> X
• Invalid input provided.Please review and try again =>O

盡可能不要回覆400 Bad Request or 500 Internal server error

12 Input Validation

對所有輸入資料進行驗證，包含Request parameter、Header、Payload等等使用者可以輸入的資訊，避免各種injection攻擊

除了在client端驗證輸入外，Server端 "也要" 使用專門的Validation libraries或框架