API 安全意味着什么?

API 安全不仅专注于保护那些直接或间接暴露给用户的 API，还涉及到节流、速率限制等网络安全原则，基于身份的安全分析，以及如下关键性的安全控制概念：

API 协议

API 可以根据不同的需求，以多种形式和样式被使用。而不同的使用方式也决定了 API 实施的安全性。

SOAP

简单对象访问协议(Simple Object Access Protocol，SOAP)是一种基于 XML 的消息传递与通信协议。该协议可以扩展 HTTP，并为 Web 服务提供数据传输。使用该协议，我们可以轻松地交换包含着所有内容的文件、或远程调用过程。与诸如 CORB、DCOM 和 Java RMI 等其他框架的不同之处在于，SOAP 的整个消息都是被写在 XML 中的，因此它能够独立于各种语言。

REST

作为基于 HTTP 协议的 Web 标准架构，REST 针对每个待处理的 HTTP 请求，可以使用四种动词：GET、POST、PUT 和 DELETE。对于开发人员来说，RESTful 架构是理解 API 功能和行为的最简单工具之一。它不但能够使得 API 架构易于维护和扩展，而且方便了内、外部开发人员去访问 API。

gRPC

作为一个开源的高性能框架，gRPC 改进了老式的远程过程调用(Remote Procedure Call，RPC)协议。它使用 HTTP/2 这种二进制帧传输协议，简化了客户端和后端服务之间的通信和消息传递过程。

完全轻量级的 gRPC，要比 JSON 快 8 倍以上。它可以通过开源技术协议调用缓冲区，并对结构化的消息采用了一种与平台无关的序列化格式。在 API 的使用中，开发人员可以通过 gRPC，找出应该调用和评估参数值的各个过程。

Webhook

Webhook 能够将自动生成的消息，从一个应用程序发送到另一个应用程序。换句话说，它可以在两个应用之间实时建立、发送、提取更新的通信。

由于 Webhooks 可以包含关键信息，并将其传输到第三方服务器，因此我们可以通过在 Webhooks 中执行基本的 HTTP 身份验证、或是 TLS 身份验证，来保证 API 的相关安全实践。

WebSocket

WebSocket 是一种双向通信协议，可以在客户端和服务器之间提供成熟的双向通信通道，进而弥补了 HTTP 协议的局限性。

应用客户端可以使用 WebSocket 来创建 HTTP 连接请求，并发送给服务器。当初始化通信连接被建立之后，客户端和服务器都可以使用当前的 TCP/IP 连接，根据基本的消息框架协议，传输数据与信息。

XML-RPC

XML-RPC 可以通过标准化的通信过程，实现 WordPress 和其他系统之间的相互通信。它使用 HTTP 作为传输的手段，使用 XML 作为编码过程。其工作代码被存储在位于网站根目录的 xmlrpc.php 文件中。作为 WordPress 3.5 版的默认选项，XML-RPC 能够让移动应用与基于 Web 的 WordPress 安装过程，实现无缝的交互。

不过，对于每个访问请求而言，由于 xmlrpc.php 能够共享身份验证的详细信息，因此它增加了暴力攻击和 DDoS 攻击的几率。对此，我们在采用 XML-RPC 的 API 时，需要增加相关安全实践。

JSON-RPC

对于新手而言，JSON-RPC 是一种超轻型的 RPC 协议，可用来开发基于以太坊区块链的 API。它采用 JSON(RFC4627)作为基本的数据格式，具有解释和处理多个数据结构与规则的能力。该协议可以通过相同的套接字被反复使用。

MQTT

MQTT 是 OASIS 认可的消息协议，已被广泛地用在物联网设备和工具开发领域，实现了 HTTP 类型的信息交换。由于非常轻巧，因此它可以让开发人员能够一次性扩展到数百万台设备上。在 API 安全性方面，MQTT 不但能够协助实现消息加密，而且可以轻松地应用 TLS 和身份验证。

AMQP

作为一个开放的协议，高级消息队列协议(Advanced Message Queuing Protocol，AMQP)规定了消息提供者的行为过程，可以被应用到应用层上，创建互操作式的系统。由于是采用二进制实现的，因此该协议不但支持各种面向消息的中间件通信，而且可以确保消息的全面妥投。

XMPP

作为一整套免费的源技术，XMPP 可用于开发多方协作、即时消息、多方聊天、视频通话、以及轻量级中间件等领域。它的四个关键性组件包括：PHP、MySQL、Apache 和 Perl。

CoAP

作为一种由 RFC 7252 定义的 IETF 标准，CoAP 可以被当作标准化的 API 安全协议，来约束物联网设备上的应用。由于 CoAP 可以支持通过 LPWAN 进行通信，因此它是保护简单微控制器节点的最佳选择。CoAP 工作在 TCP/IP 层，并采用 UDP 作为基本的传输协议。