随着企业数字化进程的发展，企业正在大量使用API来连接服务和传输数据，API在带来巨大便利的同时也带来了新的安全问题，被攻击的API可能导致重要数据泄漏并对企业业务造成毁灭性影响。因此，API安全正受到业界和学术界的广泛关注，开放Web应用程序安全项目（OWASP）在2019年将API列为最受关注的十大安全问题。

OWASP API安全计划是这样描述的：“API是现代移动、SaaS和Web应用程序的重要组成部分，其可以在面向客户、面向合作伙伴和内部应用程序中找到。因性质使然，API会暴露应用程序逻辑和个人身份信息(PII)等敏感数据，正因为如此，API逐渐成为众多攻击者的目标。没有安全的API，就不可能实现快速创新。”

本文将带您了解如何使用腾讯云API网关保护API安全，为您的业务保驾护航。

在腾讯云API网关上一般可以通过9种方式来保护API安全：

1.链路加密；

2.认证鉴权；

3.请求映射与转换；

4.参数校验；

5.IP访问控制；

6.跨域访问控制CORS；

7.流量监控与保护；

8.DDoS防护能力；

9.与Web应用防火墙WAF结合；

以下将分别介绍每种方式的作用场景与配置方法。

01.

链路加密

API是用来在服务之间交换数据的重要手段，如果交换的数据中包含敏感信息（比如身份信息、银行信息等），那么数据的安全性和隐蔽性就显得尤为重要。腾讯云API网关支持基于TLS协议对链路中传输的报文数据进行加密，保护传输数据不会被泄露及篡改。

02.

认证鉴权

鉴权（authentication）是指验证用户是否拥有访问业务系统的权利，也是保护API安全最常见的一种方式。腾讯云API网关目前主要有4种鉴权方式，分别是：

·免鉴权

任何用户无需鉴权即可通过API网关。

·应用认证

分发密钥对给用户，API调用方通过密钥对生成签名，使用签名进行请求。API网关收到请求后会校验签名，签名一致的情况下放行，否则拒绝请求。

·OAuth 2.0认证

支持通过标准的OAuth 2.0协议对接API开放方自身的认证服务器，认证服务器会向获得权限的API调用方颁发令牌，API调用方可使用令牌访问后端资源。

·EIAM认证

支持通过腾讯云EIAM产品对API进行认证和授权管理，适用于对API有细粒度权限管理的业务场景。

当您根据自己的业务场景找到合适的鉴权方式后，可以在创建API时选择对应的认证方式，创建API成功后即可使用该认证方式调用API。

03.

映射转换

API开放者可以在API网关上配置客户端访问API网关的规则、API网关请求业务后端的规则，并将这两种规则关联起来，通过这种方式就来实现请求映射与转换。如图，通过在API网关上的配置，对外暴露的请求和实际后端的请求中，请求方法、请求协议、访问域名、访问环境、请求路径Path、Query参数等都发生了变化，对于API调用方而言，实际实现业务的后端是完全隐藏的。这样就能保证客户端直接请求业务后端带来的安全风险。

04.

参数校验

要保证系统的安全性与健壮性，数据校验必不可少。通过校验参数的合法性，我们可以避免因为传参异常导致业务系统报错的问题。API网关支持配置请求参数的校验规则，您可以指定参数名，参数类型和参数数据类型；同时可以指明是否必填、默认值、示例数据和描述说明。API网关会根据用户配置的所有参数执行校验与映射，如果客户端传递了不符合规则的参数，请求将会被API网关拒绝，不会转发给后端。

05.

IP访问控制

API安全防护过程中经常需要针对IP地址进行安全防护，API网关针对此场景提供了IP访问控制能力，主要用于限制API的调用来源IP，可以通过配置某个API的IP白名单/黑名单来允许/拒绝某个来源的API请求。IP访问控制采用插件的配置方式，创建IP访问控制插件后，绑定到API即可立即生效，具体配置方式请参考：

IP访问控制插件使用指南：https://cloud.tencent.com/document/product/628/53381

06.

跨域访问控制CORS

当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时，资源会发起一个跨域HTTP请求。跨域本质上是绕过同源请求的严格限制，所以会存在一定的安全风险，跨域访问控制CORS是为了弥补JSONP等跨域常见技术的缺陷，而提出的安全方便的跨域方案。API网关上支持针对API设置W3C规范的自定义的复杂CORS规则，帮助API开放者避免跨域过程中的安全问题。

跨域访问控制CORS同样采用插件的配置方式，创建跨域访问控制CORS插件后，绑定到API即可立即生效，具体配置方式请参考：

跨域访问控制CORS插件使用指南：https://cloud.tencent.com/document/product/628/58253

07.

流量监控与保护

流量监控与保护的内容在API网关的上一篇最佳实践，可参考：

使用腾讯云API网关实现多维度精细化限流

08.

DDoS防护能力

DDos也叫分布式拒绝服务，是利用恶意程序远程控制很多感染了恶意程序的计算机，让这些计算机同时对一个或多个目标发起请求，消耗目标服务器CPU内存资源或网络带宽资源，从而造成服务器无法正常向用户提供服务。API网关共享实例和专享实例均接入了腾讯云内部的DDoS防护体系，其中共享实例默认具备基础的DDoS防护能力，专享实例具备一定的DDoS高防能力，使用API网关可确保您的业务免受DDoS攻击威胁。

09.

与Web应用防火墙WAF结合

腾讯云Web应用防火墙是一款非常强大的安全产品，能帮助腾讯云内及云外用户应对Web攻击、入侵、漏洞利用、篡改、后门、爬虫、域名劫持等网站及Web业务安全防护问题。通过部署腾讯云WAF服务，并将WAF与API网关结合，可将Web攻击威胁压力从API网关转移到WAF上，由专业的工具来做专业的防护。API网关结合WAF的配置方式请参考：

最佳实践·API网关结合WAF提供安全防护：https://cloud.tencent.com/document/product/628/48326

随着互联网产品的兴起，Web攻击的手段越来越多样，腾讯云API网关也将不断修炼安全防护能力，争取为应用开发者们提供业内最安全的网关产品。