随着微服务架构的盛行，API的安全问题日益凸显，创建一个安全的API日益迫切。那如何保证能创建一个相对安全的API呢？以下是 Google Cloud 的 Apigee 团队推荐的四个建议。

1、以 TLS 为基础

• “传输层安全性”或 TLS 加密流量，有助于确保客户端与正确的服务器通信，并且是 API 安全性的基础。API 不应该没有它。
• 跟上 TLS 的变化 - 因为它们很常见。许多 API 团队使用 Qualisys SSL Labs 的 SSL Server Test 等服务测试 TLS 配置。
• 考虑使用跟踪工具，数据屏蔽和标记化来除了加密。

2、专注于身份验证

• 控制 API 访问的能力是有效 API 安全性的基石。 企业应使用 OAuth 对用户进行身份验证。
• 验证终端用户以及应用的身份。

3、使用速率限制来防止暴力攻击并管理流量

• 使用速率限制来防止暴力攻击。例如，黑客可能会使用自动化软件通过系统猜测密码来生成大量连续登录尝试。如果 API 不受速率限制的保护，则可能允许此攻击无限期地继续或直到成功为止。

4、使用行为模式和机器学习将坏机器人放在适当位置

• 不仅监控 API 访问，还监控流量模式，以发现可疑行为。
• 应用复杂的算法和机器学习来发现坏机器人，并注意适用于网络或 Web 攻击的防御方法可能对 API 无效。