Appearance
如何构建安全的 API:最佳实践与防御指南
解决 API 暴露在公网时的安全隐患:通过一套完整的防御体系(Auth + 校验 + 限流 + 加密),防止数据泄露、非法访问及 DDoS 攻击。
为什么需要这个技能
在现代软件架构中,API 是系统的核心入口。如果缺乏安全防护,API 极易遭受 SQL 注入、越权访问(BOLA)、暴力破解或拒绝服务攻击。一个简单的代码漏洞可能导致整个数据库被拖库或敏感用户信息泄露。
本技能提供了一套标准化的 API 安全加固工作流,涵盖从请求进入到响应返回的每一个关键环节,确保开发者能快速将 OWASP API Security Top 10 的防御标准落地到代码中。
适用场景
- 新功能设计:在设计 API 接口时,确保从一开始就符合安全规范。
- 存量代码审计:对现有 API 进行安全审查,修复权限漏洞或注入风险。
- 应对安全合规:为安全审计或渗透测试做准备,实现标准化的身份验证和限流。
- 敏感数据处理:在 API 中传输用户信息、支付数据等高度敏感信息时。
核心工作流
- 身份验证与授权 (Auth):
- 选择合适的方案(如 JWT、OAuth 2.0 或 API Key)。
- 实现基于角色的访问控制 (RBAC),确保用户只能操作其拥有权限的资源(防止 BOLA 漏洞)。
- 输入校验与清洗 (Validation):
- 使用 Zod 等 Schema 校验库对请求体进行强类型验证。
- 强制使用参数化查询或 ORM,彻底杜绝 SQL 注入。
- 对输出内容进行清洗,防止跨站脚本攻击 (XSS)。
- 流量控制与防御 (Rate Limiting):
- 为每个 IP 或用户设置请求配额。
- 对登录、注册等高危接口实施更严格的限流策略,防止暴力破解。
- 数据传输与存储保护 (Protection):
- 全站强制 HTTPS/TLS 加密。
- 隐藏详细的错误堆栈,避免泄露服务器内部结构。
- 配置安全响应头(如使用 Helmet.js 屏蔽
X-Powered-By)。
下载和安装
下载 api-security-best-practices 中文版 Skill ZIP
解压后将目录放入你的 AI 工具 skills 文件夹,重启工具后即可使用。具体路径参考内附的 USAGE.zh.md。
你可能还需要
暂无推荐