API NEWS | 谷歌云对API安全挑战的看法

本周，我们带来的分享如下：

• Drupal平台的一个API漏洞允许攻击者绕过访问控制；

• 谷歌云对API安全挑战的看法；

• OAuth2的全面指南；

• 一篇介绍GitHub如何偏离OAuth2实现指南的文章。

近期，热门开源内容管理系统Drupal发布了一个安全更新，修补了平台9.3版本中的一个API漏洞。

庆幸的是，仅平台的9.3版本受到影响，Drupal已发布更新的安全版本。

这是API2:2019的一个例子——失效的的身份验证——确保对所有API进行充分的身份验证。

Register报道了谷歌云最近的一篇关于API安全挑战（特别是在云环境中的API安全挑战）的文章。

• API安全需求将推动零信任的应用：尽管零信任为分布式API架构带来了巨大的好处，但作者的观点是，采用率仍然很低，通常只有五分之一。

• 微服务API的崛起：尽管API可以促进微服务架构的开发，但开发人员应该确保不会带来新的复杂性——“最糟糕的巨石，分布式巨石”。

• API使EDA保持活力：API支持事件驱动架构（EDAs），允许无服务器、异步和流的用例。但需要注意安全！

• GraphQL地位将赶超REST：作者预测到2025年GraphQL将超过REST API，这将对安全团队产生重大影响。

• Multi-APIM将支持混合部署：混合云环境将造成多个API管理部署来管理相同的API的现象出现。

• 供应商将解锁会话API：API将越来越多地为客户提供语音体验，为隐私和保护带来挑战。

• API将不再是IT的影子：API将成为组织中数据公开的标准渠道。安全团队应该接受这一点，并为API开发、部署和管理建立标准流程。

正确设计和实现OAuth2规范对API安全性至关重要，同时也是负责实现API身份验证和授权的开发人员所面临的困惑之一。近期，Dan Moore分享了关于相关的最佳指南之一，由StackOverflow博客提供。

使用 OAuth 时，您将用户身份验证和授权外包给中央身份提供者 (IdP)。用户登录到 IdP 并以访问令牌的形式被授予有时限的权限。此令牌提供给其他应用程序、API 和服务。

使用这种集中式服务有许多优点：

• 一个拥有用户 PII 的系统比许多系统更容易被锁定和保护。 

• 正如数据库专注于保留具有某些保证的数据一样，IdP 可以专注于登录功能并提供易于理解的界面。

• 因为 IdP 是执行授权和身份验证决策的地方，所以它成为分析、启用和禁用对系统的访问的单一中心位置。

• 当所有用户都在 IdP 进行身份验证时，您可以轻松添加功能，例如与其他身份源的联合或多因素身份验证等安全措施。所有从 IdP 接受令牌的应用程序、API 和服务都受益于额外的功能，而无需对其代码进行任何更改。

点击文末“阅读原文”可查看该指南全部内容

近期的第二篇文章是另一篇关于OAuth2的文章，该文章无疑是面向技术人员的：一位研究人员描述了OAuth2在GitHub实现中的各种偏差。

• 支持OAuth 公共客户（PKCE）交换代码的证明密钥（RFC7636），以防止攻击者交换窃取的授权代码。

• 支持OAuth 2.0双向TLS客户端身份验证和证书绑定访问令牌（RFC8705），以进一步降低攻击者使用窃取的访问令牌的能力。

• 使用更安全的客户端身份验证方法——建议遵循金融行业API（FAPI）规范。

感谢 APIsecurity.io 提供相关内容