到去年末，移动互联网的使用量已超过台式机的使用量。无论是移动消费者，移动工作人员还是移动服务，许多业务交易的一部分都在移动中完成。旅途中的信任始于身份验证，但不仅仅是用户ID和密码。你真的说你是谁吗？您可以信任要使用的服务吗？您可以信任用于访问该服务的应用程序吗？您的装置安全吗？当您在旅途中时，零信任意味着参与链中的每个环节，无论是人员，软件还是硬件，都必须经过身份验证。

　　移动流量就是API流量

我们越来越多的活动和信息正在移动设备上存储和执行。黑客当然不会错过这一趋势。来自2019年的报告中指出，一系列犯罪和有针对性的攻击者团体正在增加对移动平台的攻击，而移动安全成熟度水平则落后于传统平台，导致攻击者在受感染的移动设备上的停留时间延长。

同时，过去五年来，互联网上的API流量激增。2014年，通过其安全CDN的流量中有47%是API数据包，而在2018年，这些API数据包已增长到83安全流量的百分比。

在传统的基于浏览器的应用程序中，数据处理是在服务器端进行的，结果网页显示的状态或结构化数据很少存储在浏览器中。

相比之下，移动应用程序使用API来发送和接收数据，而该应用程序则管理UI并维护状态和设备上的更多数据。

认识到API在现代应用程序体系结构中的使用不断增长，OWASP发起了API安全项目并于2019年发布了OWASP Top 10：

· API1：损坏的对象级别授权

· API2：身份验证失败

· API3：数据暴露过多

· API4：缺乏资源和速率限制

· API5：损坏的功能级别授权

· API6：批量分配

· API7：安全性配置错误

· API8：注射

· API9：资产管理不当

API会公开敏感数据和关键业务功能，因此，身份验证和授权自然会在十大风险中扮演重要角色。请仔细注意，如果只有经过身份验证的用户的经过身份验证的应用程序有权进行API调用，那么其他API安全漏洞也将受到保护，以防止被利用。

　　上下文中的身份验证

人们常常认为认证只是用户认证。如果是这种情况，那么黑客将努力收集用户凭证，接管帐户并渗透后端服务，并从任何设备或机器人随意调用API。

在2018年的八个月中，检测到27985920324次凭据滥用尝试。

完全依靠用户凭证显然是一个坏主意。还可以考虑许多其他指标：进行API调用的应用程序的身份，设备的时间和位置，以前的API调用的顺序，验证码，人类行为感知，生物特征等等。

这些因素中的一些因素会限制隐私权，而其他因素可能会给用户带来极大的不便。没有一个因素是足够的，但是对API调用周围的更多上下文进行身份验证将导致更具弹性的身份验证。

　　应用程序身份验证作为关键上下文指示器

对正在调用的用户进行身份验证很重要，但是了解并信任正在调用的应用程序，甚至知道它是真实的应用程序而不是机器人，也是一个重要的上下文指示。

如果您可以确保调用的应用程序是真实的，没有被篡改并在安全的环境中运行，那么您已将API调用的有效负载和序列限制为有效应用程序的API和有效载荷，以及使用被盗的外部bot攻击用户凭据已关闭。

不幸的是，API密钥是用于将应用识别为正版的常见做法。API密钥太容易被盗，一旦被盗，它们就可以在应用程序外部轻松使用，以任何顺序对任何数据进行API调用。

　　应用程序证明-更智能的API密钥

即使API密钥是安全的，它们也无法防止应用程序被篡改，也无法评估运行时环境的安全性。应用程序身份验证需要扩展到静态标识之外，并且必须不断评估应用程序的完整性。

当应用程序身份验证更加全面和动态时，通常称为“软件证明”，或在这种情况下称为“移动应用程序证明”。例如，在2019年，宣布了新的PCI安全标准，用于在商用现货设备上基于软件的PIN输入，该标准支持在付款时将客户PIN输入到电话或平板电脑等商业设备中卡是通过小型安全设备处理的。使用软件证明检查，而不是依赖于静态身份验证数据。

寻找证明变得更加普遍，尤其是在移动环境中，以确保客户端应用程序的真实性。

　　采取行动

就像陈词滥调一样，一条链的强度与其最弱的链接一样强，因此每个链接都应经过正确的身份验证。这反映在越来越多的寻求更多上下文因素的推动中，而不仅仅是基本的ID和密码凭据。为了确保API安全，必须增强应用程序身份验证技术。像PCI SPOC规范一样，软件认证将日益成为零信任API安全的要求。

以上就是关于正确获得身份验证，确保API安全的全部内容，想了解更多关于API安全的信息，请继续关注中培伟业。