- 综合排序
- 最热优先
- 最新优先
- 来自专栏API技术
API 安全最佳实践
因此,确保强大的 API 安全机制对于保护敏感信息和维护系统的完整性至关重要。在本篇文章中,我们将深入研究 API 的安全性,并通过使用 C# 的实际示例探索一些基本机制。 API安全简介API 安全是为了防范未经授权的访问、数据泄露以及其他潜在风险而采取的一系列实践和技术。如果没有足够的安全措施,API 很容易受到各种威胁,包括数据泄露、拒绝服务攻击和恶意利用。 (TLS) 或安全套接字层 (SSL) 加密可确保客户端和 API 服务器之间的安全通信。 安全最佳实践还应关注以下四点: ● 定期更新和修补依赖项和库。 通过整合这些最佳实践,开发人员可以构建强大且安全的 API,从而为更安全的数字生态系统做出贡献。原文链接:Best Practices of API Security.
1.7K10编辑于 2023-12-20 - 来自专栏云云众生s
4个API安全最佳实践
如果您考虑以下两个要点,您将为您的 API 安全奠定良好的基础: 使用 API 网关。 使用访问令牌进行授权。 让我详细说明它们的优势,并展示如何发展您的 API 安全。 1. 这两种协议都允许您在 访问令牌 的帮助下委托对 API 的访问,同时保持信任管理集中。 2. 使用访问令牌进行授权 实际上,访问令牌通常意味着 JSON Web 令牌 (JWT) 格式。 JWT 安全最佳实践 包括以下内容: 始终验证访问令牌。 提升 API 安全性 通过添加 API 网关并使用 OAuth 或 OpenID Connect 基于访问令牌进行授权,您可以缓解许多主要的 API 安全风险。此外,您可以以可扩展的方式发展您的架构。 例如,实施和结合最佳实践模式,例如保护隐私的 幽灵令牌模式 或 令牌处理程序模式,用于基于浏览器的应用程序。您只需要一个 API 网关和访问令牌进行授权即可开始。
1.3K10编辑于 2024-07-15 - 来自专栏AI
安全最佳实践
使用我们的免费 Moderation APIOpenAI 的 Moderation API 是免费使用的,可以帮助减少您完成中不安全内容的频率。 通过经过验证的下拉字段允许用户输入(例如,维基百科上的电影列表)可能比允许开放式文本输入更安全。 在可能的情况下,从后端返回经过验证的一组材料的输出可能比返回新生成的内容更安全(例如,将客户查询路由到最匹配的现有客户支持文章,而不是尝试从头回答查询)。 考虑模型是否适合您的目的,并评估 API 在各种潜在输入中的性能,以确定 API 的性能可能下降的情况。考虑您的客户群体及其将使用的输入范围,并确保他们的期望得到适当的调整。 安全性和保障对我们在 OpenAI 的重要性不言而喻。如果在开发过程中您注意到 API 或与 OpenAI 相关的任何其他内容存在任何安全问题或安全问题,请通过我们的协调漏洞披露计划提交这些问题。
49510编辑于 2024-05-12 - 来自专栏C/C++基础
REST API 最佳实践
因为 API 在这种客户端-服务器通信中起着至关重要的作用,所以我们在设计 API 时应该始终考虑到最佳实践。这有助于维护它们的开发人员和那些使用它们的人,在履行职责时不会遇到问题。 在这篇文章中,我将带你了解创建 REST API 时需要遵循的一些最佳实践。这将帮助你创建最好的 API,并使你的 API 用户使用起来更容易。 0.什么是 REST API? /users/john_doe 虽然两者在技术上都是有效的 URL,但前者更符合 REST API 的最佳实践。 删除多个评论 5.小结 在这篇文章中,你了解了在创建 REST API 时需要记住的几个最佳实践。 将这些最佳实践和惯例付诸实践是很重要的,这样你就可以创建功能强大的应用程序,使其运行良好、安全,并最终使你的 API 用户能够更加容易地使用它。
2.9K20编辑于 2023-05-07 - 来自专栏Java进阶架构师
API设计最佳实践
为什么要使用 API? API 可以让外部应用访问您的资源 API 扩展了应用程序的功能 API 允许开发者重用应用逻辑 API 是独立于平台的,它们传递数据不受请求平台的影响 ? 在大多数实际场景中,数据模型 已经存在,但由于我们将讨论 API 设计最佳实践,我将从头开始说起。 你的 API 可能会对外开放,以允许外部开发人员使用你的 API 开发他们自己的应用。通过使用通用术语,你可以确保使用 API 的开发人员易于了解你的 API,并能快速上手。 如果在page_token = "1" 之后有额外的数据,返回的值是应当是 next_page_token="2" 如果没有更多的数据可用,而且用户已经到达数据的终点,则返回一个空白值 next_page_token 这些就是设计 API 的最佳实践。它让你的 API 更健壮、简洁并易于与其他应用程序集成。 请记住。 良好设计的API = 快乐的程序员 ?。
1.1K20发布于 2021-03-12 - 来自专栏PhpZendo
RESTful API 最佳实践
思维导图摘要 一、 RESTful API 设计的 6 项基本原则 重点: 本节给出了在设计 RESTful API 接口时需要遵循的基本原则。 统一接口 无状态 可缓存 C/S 架构 分层系统 按需编码(可选) 二、 实战小贴士 本节给出了有关 RESTful API 接口设计技巧速查表,可助你快速了解如何设计出最佳的 API 接口。 四、 API 命名规范 重点: 本节讲解如何设计出优秀的 API 接口,满是干货实例。 六、 资料 福利:有关 RESTful API 教程和相关知识点资料可以从这里获取。 导图 在线版 RESTful 服务最佳实践 思维导图。 图片预览版 ? 感谢 感谢 原作者 tfredrich 和 译者 提供如此优秀的 RESTful API 设计教程。
1.2K21发布于 2018-09-17 - 来自专栏阮一峰的网络日志
RESTful API 最佳实践
为了统一起见,建议都使用复数 URL,比如GET /articles/2要好于GET /article/2。 GET /authors/12/categories/2 这种 URL 不利于扩展,语义也不明确,往往要想一会,才能明白含义。 更好的做法是,除了第一级,其他级别都用查询字符串表达。 categories=2 下面是另一个例子,查询已发布的文章。你可能会设计成下面的 URL。 GET /articles/published 查询字符串的写法明显更好。 GET /articles? 1xx:相关信息 2xx:操作成功 3xx:重定向 4xx:客户端错误 5xx:服务器错误 这五大类总共包含100多种状态码,覆盖了绝大部分可能遇到的情况。 API 不需要1xx状态码,下面介绍其他四类状态码的精确含义。 2.2 2xx 状态码 200状态码表示操作成功,但是不同的方法可以返回更精确的状态码。
81240发布于 2018-10-10 - 来自专栏java一日一条
RESTful API 最佳实践
因为按照RESTful架构可以充分的利用HTTP协议带给我们的各种功能,算是对HTTP协议使用的最佳实践,还有一点就是可以使软件架构设计更加清晰,可维护性更好,但是并不是所有情况都需要完全遵守REST原则 对于安全方法,它仍然可能改变服务器上的内容或资源,但这必须不导致不同的表现形式。 有关HTTP常用方法幂等性和安全性如下: ? RESTful API设计规则: 1. GET /comments/tid/tid=1&page=1 2. 当然,这种基于token来进行基本认证的方法只能当用户从API管理后台拷贝了一个token到自己的代码中才行。如果搞不到token,只能使用OAuth 2来把安全token传递给第三方。 OAuth 2使用Bearer token,并且也是基于SSL来保证传输安全。
2.3K31发布于 2018-09-14 - 来自专栏Linyb极客之路
RESTful API 最佳实践
1、/getAllCars 2、/createNewCar 3、/deleteAllRedCars 1.4 复数 URL 既然 URL 是名词,那么应该使用复数,还是单数? 为了统一起见,建议都使用复数 URL,比如GET /articles/2要好于GET /article/2。 GET /authors/12/categories/2 这种 URL 不利于扩展,语义也不明确,往往要想一会,才能明白含义。 更好的做法是,除了第一级,其他级别都用查询字符串表达。 1、1xx:相关信息 2、2xx:操作成功 3、3xx:重定向 4、4xx:客户端错误 5、5xx:服务器错误 这五大类总共包含100多种状态码,覆盖了绝大部分可能遇到的情况。 API 不需要1xx状态码,下面介绍其他四类状态码的精确含义。 2.2 2xx 状态码 200状态码表示操作成功,但是不同的方法可以返回更精确的状态码。
1K40发布于 2018-10-24 - 来自专栏API安全
API NEWS | 第三方API安全性最佳实践
欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下:一篇关于第三方API安全性的五个最佳实践的文章一篇关于OAuth2升级协议深入探讨的文章一篇关于防范僵尸API的文章一篇关于影子API风险的文章第三方API安全性的五个最佳实践本周介绍一篇 API安全的优秀文章,涵盖了第三方API安全的五个最佳实践。 ,确保API的安全性。 OAuth2升级协议深入探讨这篇文章详细介绍了Authlete所提供的OAuth2升级协议,这对希望加强API安全性的所有人都有用。
64520编辑于 2023-10-18 - 来自专栏前端森林
Koa2+MongoDB+JWT实战--Restful API最佳实践
本篇文章是结合我最近的一个项目,基于koa+mongodb+jwt来给大家讲述一下 RESTful API 的最佳实践。 RESTful API 是什么? 分层系统(Layered System) 按需代码(Code-On-Demand) 看完了 REST 的六个约束,下面让我们来看一下行业内对于RESTful API设计最佳实践的总结。 上面说了这么多,下面让我们看一下如何在 Koa 中践行RESTful API最佳实践吧。 在这里主要是以用户模块的crud为例来展示下如何在 koa 中践行RESTful API最佳实践。 最后 到这里本篇文章内容也就结束了,这里主要是结合用户模块来给大家讲述一下RESTful API最佳实践在 koa 项目中的运用。
11K42发布于 2020-04-23 - 来自专栏安全乐观主义
GitHub安全最佳实践
写在前面 GitHub安全最佳实践列表 1.不要将凭证作为代码/配置存储在GitHub中。 2.删除文件中的敏感数据和GitHub历史记录 3.限制访问控制 4.增加SECURITY.md文件 5.严格验证GitHub上的第三方应用 6.在PR阶段添加安全性测试 7.选择合适的GitHub来满足安全需求 本文,以安全维度系统介绍了维护仓库安全应该要做的事,可以作为安全组织对标的cheat sheet。 GitHub 安全最佳实践列表 1. 总体而言这是由来已久的安全隐患。工具使用者应当遵循最佳实践来防止将敏感数据放置到代码库中。 对于企业内部的存量代码应当也有手段去解决存量的代码中的大量密码。通过工单肯定是不现实的。 这是确保正在进行的代码和配置更改符合安全预期的最佳时机。
1.4K10发布于 2019-11-20 - 来自专栏FreeBuf
Powershell最佳安全实践
在这篇文章中,我们将跟大家讨论PowerShell的最佳实践方式,而本文的内容将能够帮助你对抗那些使用PowerShell来攻击你的人。 PowerShell是什么? PowerShell安全最佳实践 考虑到某些组织因为需求关系不能禁用或删除PowerShell,下面给出的几条安全实践建议可以帮助你在享受PowerShell的高效性时免受网络威胁的困扰。 移除PowerShell V.2 由于微软给最新版本PowerShell整合的安全增强功能并不适用于PowerShell v.2,因此v.2版本的PowerShell将有可能被用于攻击者的横向渗透或持久化攻击之中 ,但“记录PowerShell活动”那部分的安全实践建议可以检测其中的绝大部分绕过行为。 .2。
2.5K100发布于 2018-02-27 - 来自专栏程序生涯
RESTful API 设计最佳实践
Web API 近几年变得越来越火,而简洁的 API 设计在多后端系统交互应用中也变得尤为重要。通常,会使用 RESTful API 来作为我们的 Web API 。 本文介绍了几种简洁 RESTful API 设计的最佳实践。 第三个层次(Level 2)的 Web 服务使用不同的 HTTP 方法来进行不同的操作,并且使用 HTTP 状态码来表示不同的结果。 seats<=2 排序: GET /cars?sort=-manufactorer,+model 字段选择: GET /cars? offset=10&limit=5 API 版本化 版本号使用简单的序号,并避免点符号,如2.5等。
89130发布于 2020-08-14 - 来自专栏Apikit
API 开发的最佳实践
由于缺乏有效管理 API 的方法,许多公司无法高效地处理这项任务。有一些最佳实践是开发人员应始终遵循的。在这里,我列出了一些最佳的 API 开发实践,将帮助有效地维护和使用 API。1. 请确保了解这些法规,并使你的 API 符合这些要求。 2. 减少调用次数以降低延迟API 用于在软件服务、设备等之间传输数据,减少调用次数可以降低延迟,从而带来更好的用户体验。 API 在传输数据时确保了最高的安全性,它会将你的 API 密钥以及 API 使用者所需的任何其他数据进行加密并安全存储。这样,在所有集成中都能够实现安全传输。 例如,第 2 版和第 3 版将具有不同的数据类型,因此消费者需要在使用之前了解这一点。这是一个基本示例,但表明了在开发 API 时考虑消费者有多重要。8. 总结总的来说,API 应该具备高可用性、性能优越、遵循标准、明确的服务边界、SEO、用户友好设计以及可重用性。遵循这些最佳实践将确保 API 满足业务需求和消费者需求,从而提高采纳率。
1K20编辑于 2023-07-11 - 来自专栏LNMP开发那些事
restful api设计最佳实践
参考github的api,总结一份实践经验,方便以后设计api查阅。 ? 使用https 考虑api的安全性,建议使用https访问。 证书可使用let’s encrypt的免费证书。 api访问地址与版本 访问地址使用统一的api前缀,或者使用二级域名,版本号建议显式的放在url中。 例如: // 查询用户列表 GET: https://www.iian.xyz/api/v1/users // 删除用户 DELETE: https://www.iian.xyz/api/v1/users /1 // 添加用户 POST: https://www.iian.xyz/api/v1/users // 修改用户信息 PUT: https://www.iian.xyz/api/v1/users/1 The user agent MAY repeat the request with a new or replaced Authorization header field2.
94210发布于 2019-07-31 - 来自专栏进击的Coder
RESTful API 设计最佳实践
因为有太多的疑问,设计RESTful API变得很棘手。在这篇文章中,我们来看一下RESTful API设计,并给出一个最佳实践方案。 2个URL乘以4个HTTP方法就是一组很好的功能。 通常会用到一下几个: 2xx:成功3xx:重定向 4xx:客户端错误 5xx:服务器错误 200 成功301 永久重定向400 错误请求500 内部服务器错误201 创建304 资源未修改401未授权 如果您有不兼容和破坏性的更改,版本号可以让你更容易的发布API。发布新API时,只需增加版本号中的数字。这样的话,客户端可以自如的迁移到新API,不会因调用完全不同的新API而陷入困境。 para2=23¶2=432 在这种情况下,API响应不会返回任何资源。而是执行一个操作并将结果返回给客户端。因此,您应该在URL中使用动词而不是名词,来清楚的区分资源请求和非资源请求。
1.9K60发布于 2018-04-08 - 来自专栏Linyb极客之路
HTTPS安全最佳实践
请务必不时查看你的HTTPS配置,因为可能会出现新的漏洞和最佳做法。 3. 检查HTTP标头 有几个HTTP标头header可以控制具有安全隐患的方面,虽然并非所有这些标头都与HTTPS相关。 如果攻击者可以修改请求,那么你几乎没有办法(除了HSTS),但通常情况下,他更有可能 阅读但不能修改它,为了防止攻击者在收听流量时发生攻击,有一些最佳做法。 (2)使用安全的cookie 任何未标记为安全的 cookie 都可以通过HTTP和HTTPS发送,反过来,攻击者可以使用它来模仿HTTPS站点上的用户。 确保使用安全的cookie。 6. 但有一个例外,如果你有一个API端点,那么你可以(并且应该)完全禁用HTTP,为什么?浏览器遵循重定向,但API客户端可能不会,或者可能将POST重定向为GET。 此外,对于API的客户,你提供方案是让任何消费者只可以使用HTTPS。 7.
2.3K30发布于 2018-09-27 - 来自专栏炉边夜话
RESTful API 设计最佳实践
背景 目前互联网上充斥着大量的关于RESTful API(为了方便,以后API和RESTful API 一个意思)如何设计的文章,然而却没有一个”万能“的设计标准:如何鉴权?API格式如何? 所以我这篇文章的目标是从实践的角度出发,给出当前网络应用的API设计最佳实践(当然,是我认为的最佳了~),如果觉得不合适,我不会遵从标准。 有些是安全的,有些不是。使用SSL可以减少鉴权的成本:你只需要一个简单的令牌(token)就可以鉴权了,而不是每次让用户对每次请求签名。 如果不方便,可以使用OAuth 2来进行token的安全传输。 支持jsonp的API需要额外的鉴权方法,因为jsonp请求无法发送普通的credential。 注意使用url参数的问题是:目前大部分的网络服务器都会讲query参数保存到服务器日志中,这可能会成为大的安全风险。 注意上面说到的只是三种传输token的方法,实际传输的token可能是一样的。
1.7K40发布于 2018-09-12 - 来自专栏京程一灯
RESTful API 设计最佳实践
因为有太多的疑问,设计RESTful API变得很棘手。在这篇文章中,我们来看一下RESTful API设计,并给出一个最佳实践方案。 2个URL乘以4个HTTP方法就是一组很好的功能。 通常会用到一下几个: 2xx:成功 3xx:重定向 4xx:客户端错误 5xx:服务器错误 200 成功 301 永久重定向 400 错误请求 500 内部服务器错误 201 创建 304 资源未修改 如果您有不兼容和破坏性的更改,版本号将让你能更容易的发布API。发布新API时,只需在增加版本号中的数字。这样的话,客户端可以自如的迁移到新API,不会因调用完全不同的新API而陷入困境。 para2=23¶2=432 在这种情况下,API响应不会返回任何资源。而是执行一个操作并将结果返回给客户端。因此,您应该在URL中使用动词而不是名词,来清楚的区分资源请求和非资源请求。
1.8K10发布于 2019-03-27
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号