Bagaimana anda mereka bentuk API yang selamat?

Question

Accepted Answer

**Reka bentuk API yang selamat** melibatkan perlindungan API daripada penyalahgunaan dan serangan — melalui **autentikasi/autorisasi** yang betul, **pengesahan input**, **rate limiting**, **HTTPS**, dan pengendalian data yang teliti. API merupakan sasaran serangan yang lazim, jadi memastikannya selamat adalah penting.

## Amalan keselamatan API teras

```text
✓ AUTHENTICATION → verify who's calling (API keys, OAuth tokens, JWT) — don't leave
  endpoints open
✓ AUTHORIZATION → check the caller is allowed for EACH endpoint/resource (per-request,
  server-side; prevent accessing others' data — broken access control / IDOR)
✓ HTTPS/TLS → always (encrypt API traffic; never plain HTTP)
✓ INPUT VALIDATION → validate/sanitize all inputs (prevent injection, malformed data)
✓ Don't EXPOSE sensitive data → return only needed fields; no secrets/internal data in responses
```

## Melindungi terhadap penyalahgunaan

```text
✓ RATE LIMITING / THROTTLING → prevent abuse, brute force, DoS (limit requests per client)
✓ Pagination/size limits → prevent resource exhaustion (huge queries/responses)
✓ Handle ERRORS safely → don't leak stack traces, internal details, or sensitive info
✓ Validate content types; limit payload sizes; guard against mass-assignment
```

## Pertimbangan tambahan

```text
✓ Least privilege for API keys/tokens; scope them; rotate; short-lived where possible
✓ CORS configured correctly (don't allow all origins blindly)
✓ LOG and MONITOR API usage (detect abuse/attacks); audit access
✓ Versioning; deprecate securely; document security requirements
✓ Follow standards (OAuth, OWASP API Security Top 10)
```

## Mengapa ia penting

Memahami cara mereka bentuk API yang selamat adalah penting kerana **API merupakan sasaran serangan yang lazim dan terdedah**, dan memastikannya selamat dengan betul adalah penting, jadi ia merupakan pengetahuan keselamatan praktikal yang bernilai.

API mendedahkan fungsi dan data aplikasi melalui rangkaian, menjadikannya sasaran serangan yang kerap, jadi menerapkan amalan keselamatan padanya adalah kritikal.

Memahami **amalan teras** — **autentikasi** (mengesahkan pemanggil, tidak meninggalkan endpoint terbuka), **autorisasi** (memeriksa pemanggil dibenarkan untuk setiap endpoint dan sumber, di pihak pelayan dan setiap permintaan, untuk mencegah broken access control dan IDOR — mengakses data orang lain), **HTTPS** (sentiasa, menyulitkan trafik), **pengesahan input** (mencegah injection dan data yang cacat), dan **tidak mendedahkan data sensitif** (mengembalikan hanya medan yang diperlukan) — meliputi asas keselamatan API.

Memahami **melindungi terhadap penyalahgunaan** — **rate limiting/throttling** (mencegah brute force, penyalahgunaan, dan DoS dengan mengehadkan permintaan, terutamanya penting untuk API yang terdedah), pagination dan had saiz (mencegah keletihan sumber), dan **pengendalian ralat yang selamat** (tidak membocorkan stack trace atau butiran dalaman) — menangani cara API diserang dan dibebani.

Memahami **pertimbangan tambahan** — least privilege dan pengehadan skop untuk API key/token, konfigurasi **CORS** yang betul (tidak membenarkan semua origin secara membuta tuli), pengelogan dan pemantauan untuk pengesanan penyalahgunaan, dan mengikuti piawaian (OAuth, OWASP API Security Top 10) — mencerminkan keselamatan API yang menyeluruh.

API menggabungkan banyak kebimbangan keselamatan (auth, kawalan akses, pengesahan input, pencegahan penyalahgunaan, pendedahan data), dan memastikannya selamat dengan baik memerlukan penerapan amalan ini.

Memandangkan API merupakan sasaran serangan yang lazim dan terdedah dan memastikannya selamat (autentikasi, autorisasi, HTTPS, pengesahan input, rate limiting, pengendalian ralat yang selamat) adalah penting, dan memandangkan memahami amalan reka bentuk API yang selamat diperlukan untuk membina API yang selamat, memahami cara mereka bentuk API yang selamat adalah pengetahuan keselamatan yang bernilai dan relevan secara praktikal — penting untuk keperluan lazim dan kritikal memastikan API selamat (yang mendedahkan fungsi dan data dan kerap diserang), menggabungkan amalan keselamatan teras ke dalam konteks API, penting untuk mana-mana pembangun yang membina API.