API安全基礎

研究各種API安全性替代方案可能會引起混淆，即使是經驗豐富的專家也是如此。本系列文章旨在幫助所有類型的讀者更好地了解保護API免受網絡安全風險的各種現代方法的利弊。該材料旨在幫助企業安全和軟件開發團隊開發和維護一致的保護理念。

目標讀者包括每天依賴和使用API的軟件開發人員以及可能對組織中的API安全負責的技術經理。但是，目標讀者還包括技術人員，他們幾乎沒有使用API的經驗，但是仍然對該重要問題的安全性感興趣。我們嘗試以每種類型的閱讀器都可以訪問的方式描述API安全性概念。

API簡介

網絡和Internet服務的典型用戶傾向于根據屏幕、鍵盤、監視器等來考慮計算機接口。這些接口是系統與人類用戶交換信息的可見手段，并且近年來它們發展迅速。例如，蘋果公司的觸摸屏才出現在十年前，而一代年輕人幾乎不記得這種有用功能存在之前的世界是什么樣。

但是計算中還存在另一種類型的界面，對于日常用戶而言可能更隱藏。界面的另一種類型是軟件程序之間如何通信。多年以來，這個過程一直沒有得到很好的說明，因為程序員發明了所謂的進程間通信（IPC）協議。貝爾實驗室的早期操作系統Unix，現在作為Apple iOS和Android的基礎，使IPC設計更加容易，但它們是非標準的。

到2000年，業界決定將這些軟件到軟件的接口變得更加開放和標準。這樣的技術決定成為我們現在稱為應用程序編程接口或更常見的API的起源。認識到API提供了一個標準接口，通過該接口兩個軟件程序（通常也稱為進程）可以進行通信，共享消息或托管共享內存。

更具體地說，API是使軟件服務可用于工作負載或應用程序以進行雙向通信和消息共享的接口。 API也通常用于在不同進程之間共享內存。 API本質上是無狀態的，并且通常包含完成交易所需的所有信息，這與Web表單不同，Web表單可能需要多個交易來進行用戶注冊等過程。

API安全基礎

圖1．通用API模型

Unix操作系統IPC

大約半個世紀前，貝爾實驗室的研究人員肯·湯姆森（Ken Thomson）和丹尼斯·里奇（Dennis Ritchie）發起了一個項目，目的是構建一種在AT＆T內部使用的多任務操作系統。盡管起初目標相對溫和，但從那時起，他們生產的所謂的Unix軟件和相關的設計理念一直是幾乎所有成功的商業操作系統的技術基礎。 Linux和Android是直接派生產品，而iOS和Windows則受到Unix的巨大影響。

對于Unix操作系統，一個重要的設計考慮因素是需要創建IPC機制，該機制允許在計算機程序之間進行數據共享和消息傳遞。湯普森和里奇受到當時計算機科學界正在設計的許多快速發展的技術概念的影響。這包括生產者－消費者模型的出現以及分布式計算的新方法。

可以將Unix IPC方法視為解決API現在所涵蓋的許多問題的早期嘗試。兩者都涉及模塊化，標準化和簡化在協作過程之間共享數據或消息的方式的需求。顯然，最大的不同是現代API受益于Internet帶來的大規模規模。最初的Unix工作是本地的和操作系統特定的。

責任編輯：gt