接口安全常见措施

方案来源于网络

1、输入验证 对来自客户端的一切参数，都进行规则校验，例如：是否必填、类型、范围、默认值等。

2、对接口错误进行处理 建议：具备自我描述、有利于进行接口问题定位的错误提示；而不是 直接接口崩溃无任何返回、又或者是 混乱的错误码。

3、权限控制 根据用户身份、角色、等级等，在应用层和业务层判断该账号是否有查看权限、修改权限，甚至删除权限。

4、限流 对单个 IP、用户、行为 等进行接口流量限制，例如1秒内最多请求多少次。

5、使用API密钥 由统一认证服务给接口客户端下发API密钥，然后再前往目标服务进行接口调用。

6、使用HTTPS加密协议 利用SSL证书，对TCP连接、传输数据和返回结果进行加密，防抓包和篡改。

7、使用OAuth2 接口鉴权的方式，更偏向于接口客户端的身份核查。

8、使用WebAuthn 使用WebAuthn（Web 身份验证，全称 Web Authentication），例如常见的会员用户账号密码登录。

9、使用版本控制 在接口路由中增加版本号部分，例如：GET /v1/users/123 而不是 GET /users/123

10、白名单配置 针对 IP、用户 等，设置白名单规则。

11、扫描接口是否存在安全漏洞

12、使用API接口网关