前言

对大多数IT技术人员来说，API这个词并不陌生。而对架构师、研发工程师、安全工程师来说，API则更是日常工作中接触并熟知的内容。从2008年国内API经济活跃伊始，各个互联网企业纷纷构建自己的API开放平台，2012年API模式日益成熟，大量API安全问题在2013年之后也逐渐暴露出来。如今，仍可以通过漏洞平台、安全大会议题、企业安全应急响应中心看到这些痕迹。虽然API安全问题或安全事件时有发生，但企业对API安全的真正重视程度，仍比技术应用落后很多。这其中固然有企业的原因，但技术人员自身API安全知识的缺乏也是重要因素之一，再加上已出版的关于API安全的图书尤其少，于是作者决定写一本API安全方面的专业书籍。

1.本书的主要内容和特色

本书主要是为IT技术人员提供API安全知识和技术实战方面的案例讲解，采用理论和实践相结合的模式，由基础篇、设计篇、治理篇三个部分组成，为读者讲述API安全的基本概况、API安全漏洞、API安全设计以及API生命周期安全管理等内容。

基础篇 包括第1～5章。

第1章 API的前世今生 结合互联网技术的发展，介绍API技术的发展。重点围绕当下不同的API技术，如RESTful API技术、GraphQL API技术、SOAP API技术等，来介绍其技术特点。最后，简要讲述了头部互联网公司API的使用现状。

第2章 API安全的演变 以API安全的含义为切入点，讲述API安全关注的重点内容、API漏洞类型以及API安全的未来趋势。

第3章典型API安全漏洞剖析 从最近三年的安全漏洞案例中，精心挑选出5个有代表性的案例，分别从漏洞基本信息、漏洞利用过程、漏洞启示三个方面，为读者讲述典型的API安全漏洞原理。

第4章 API安全工具集 结合API生命周期，从需求、设计、编码、测试、运维等角度，介绍与API安全相关的工具，并对部分工具做了重点说明。

第5章 API渗透测试 参考业界标准渗透基本流程，介绍了API渗透测试过程中的注意事项和关键点，并分析了RESTful API、GraphQL API、SOAP API等API渗透测试技术的特点。最后，通过案例讲述了API安全工具的典型用法。

设计篇 包括第6～9章。

第6章 API安全设计基础 介绍了API安全设计技术栈，并结合5A原则和纵深防御原则，对不同的API安全关键技术做了简要讲述，帮助读者初步构建API安全设计的整体概念。最后，以API安全中南北向、东西向场景为例，分别做了导入性的案例分析。

第7章 API身份认证 从身份认证的概念入手，主要讲述了HTTP Basic基本认证、AK/SK认证、Token认证等API身份认证技术，并重点介绍了OpenID Connect身份认证协议及常见安全漏洞。最后，结合微软Azure云、支付宝第三方应用公开文档，分析了API身份认证技术的安全设计细节。

第8章 API授权与访问控制 结合授权与访问控制的基本概念，重点讲述了OAuth 2.0协议、RBAC模型的相关流程与设计，分析了常见授权与访问控制的安全漏洞成因。最后，结合百度开放云平台、微信公众平台等第三方平台公开文档，分析了API授权与访问控制技术的安全设计细节。

第9章 API消息保护 主要从传输层、应用层介绍了消息保护相关技术及常见漏洞，如TLS、JWT、JOSE、Paseto技术等。最后，结合百度智能小程序OpenCard、微信支付的官方文档，对消息保护过程进行了案例分析。

治理篇 包括第10～13章。

第10章 API安全与SDL 结合微软SDL模型，讲述了在API生命周期安全管理中涉及的安全活动，并挑选出了关键的安全活动，从活动实践、工具依赖两个方面展开叙述，为下一章做知识导入。

第11章 API安全与DevSecOps 从DevSecOps视角，重点介绍了API安全在工具链和自动化管理上的实践，比如设置关键卡点、引入API网关、接入WAF等。

第12章 API安全与API网关 从开源API安全产品的角度，分析API网关的基本产品组成部分以及上下文关系，并对Kong API网关、WSO2 API管理平台做了重点介绍。最后，结合花椒直播Kong应用实践做了案例分析。

第13章 API安全与数据隐私 从隐私保护的视角，结合数据安全的生命周期，介绍了API安全中如何保护数据隐私，并结合Microsoft API使用条款、京东商家开放平台API敏感信息处理两个案例，分析了API安全中的数据隐私实践。

2.本书面向的读者

本书适用于网络安全人员、软件开发人员、系统架构师以及高等院校相关专业师生阅读学习。

■ 网络安全人员： 主要是从事Web渗透测试、攻防对抗、SDL运营等相关人员，帮助此类人员快速建立API安全相关知识脉络，构建API基础安全知识框架。

■ 软件开发人员： 主要是从事API技术开发相关人员，帮助此类人员厘清API相关技术栈和典型安全漏洞，能运用工具有效提高开发质量。

■ 系统架构师： 主要是致力于提高系统安全性的架构师，能帮助架构师有效地厘清API安全技术，并通过案例分析，指导API安全设计。

■ 高等院校相关专业师生： 了解API安全知识，尤其是与API安全技术相关的漏洞、工具、协议、流程等。

3.致谢

借本书的出版，感谢我在网络安全行业中工作过的企业，是它们给了我学习和锻炼的机会，尤其是亚信安全的郑海刚和孙勇，一位是带领我进入网络安全行业的引路人，另一位则是在我最困难的时候给予帮助和鼓励的好心人！也感谢各位领导、同事在工作和生活中给予的关怀和帮助！还要感谢很多安全圈朋友们的帮助，他们之中有些人素未谋面却神交已久，如张福@青藤云、薛峰@微步在线、方兴@全知科技、刘焱@蚂蚁金服、聂君@奇安信、戴鹏飞@美团、张园超@网商银行、郑云文@腾讯、常炳涛@科大讯飞、徐松@科大讯飞（排名不分先后）等。

感谢机械工业出版社的编辑李培培，她在本书的编写过程中，给予了我很多的建议和帮助！感谢机械工业出版社其他人员，是你们的辛勤工作，使得本书早日面世！

感谢我的家人在图书的编写过程中给予的支持和帮助！

钱君生