498科技讯：自2019年1月，中央网信办、工信部、公安部、市场监督管理总局四部门联合开展“App违法违规收集使用个人信息专项治理”以来，随着《APP违法违规收集使用个人信息行为认定方法》《个人信息安全规范》等标准规范相继出台完善，App运营者普遍关注和重视App个人信息保护的氛围基本形成，无隐私政策、强制索权、无注销渠道等问题明显改善。

     想了解api接口、支付接口相关问题的朋友，欢迎拨打咨询热线：400 0591 498 或者点击留言，498科技免费为大家提供咨询和解答。

       关注App安全，一方面要关注App收集使用个人信息流程上的合规，切实保障用户权利，例如App是否有隐私政策，是否在申请权限时进行目的告知，收集个人敏感信息时是否明示告知，是否征得用户同意后收集个人信息，是否可以响应用户的更正、删除等权利等等;另一方面，也要关注App个人信息保护的措施有无落实到位，而要做到这一点，需要App运营者不断“修炼内功”，其实并非易事。

　　就在近期，Facebook(脸书)再次被曝出由于其API(应用程序接口)可能存在安全漏洞，导致Facebook一个存有2亿余条记录的数据库被公开，有两周时间它可以被任何人访问，其中每条记录包括Facebook用户的ID、姓名以及电话号码等个人信息。无独有偶，新浪微博也被曝出有5.38亿条微博用户信息在暗网出售，其中1.72亿有账号基本信息，包括用户ID、性别、地理位置等。

       对此，微博方面回应称此次的数据泄漏源于2019年被黑灰产利用通讯录上传接口进行暴力匹配，通过通讯录、手机号反查微博好友昵称的方式，获取大量账号、昵称、账号与手机信息的绑定关系等。此外，检测评估也发现，个别人脸识别、疫情防控等相关的App、小程序等也因为API接口安全措施不足，大量个人信息存在被非授权遍历、进而导致数据被泄露的风险。

　　一言以概之，API接口安全一旦出现问题，可能导致的不是一两个、几百、几千个人信息的泄露，而是涉及百万、千万、甚至亿级个人信息的数量，这也是黑灰产盗取大量个人信息的常见渠道。而实际情况是，承载数据交互的API接口往往由于其“不可见”的特点，其安全问题易被App运营者忽略。API接口基本原理如何，为何重要?存在哪些安全风险?应采取哪些安全措施?本文将逐一详解。

　　API的基本原理和应用场景

　　App已经被大家所熟知，是移动互联网应用程序(Application)的简称，也是应用层软件向手机终端的延伸，是企业业务场景服务线上客户(To C)的主要渠道。而API则是应用程序接口(Application Programming Interface)的简称，其含义比较宽泛，泛指一组定义、程序及协议的集合。本文主要探讨将前端App界面与后端服务器相连接的一类API，其主要以网络通信方式进行交互，此类API通过预先设定的参数维持前端界面与后台服务器之间的数据互通，是当下应用最为广泛的技术解决方案。

　　该类API的主要由通信协议、域名、路径、请求方式、传入参数、响应参数和接口文档等部分组成。常见的API的请求方式通常有GET、POST、PUT和DELETE。而API根据使用的协议和架构的不同也可以分为SOAP(简单对象访问协议)API和RESTful(表述性状态传递)API，其中SOAP API是Web服务安全性内置协议，采用保密和身份验证规则集的方式，支持结构化信息标准促进组织(OASIS)和万维网联盟(W3C)制定的标准，它们结合使用XML加密、XML签名和SAML令牌等方式来验证身份和授权，而REST API支持HTTP以及HTTPS两种传输协议，不需要存储或重新打包数据，因此传输速度比SOAP API协议要快得多。简言之，SOAP API更安全，适合处理敏感数据的机构，但同时也更为笨重;而RESTful API更为轻便，但是安全性能有待加强。

　　API的出现，使得使用不同编程语言、不同操作系统、不同版本的App与后台服务器的交互，以及App之间的交互更加顺畅。API不仅为App的开发提供了便捷，它也是SDK(Software Development Kit，软件开发工具包)与其后台服务端实现交互功能必不可少的组件。

　　除App和SDK依赖API外，API自身还能被单独包装成一种服务模式。随着移动互联智能化技术的推进，越来越多的企业将服务封装成数据接口进行开放，供第三方开发者使用，这类API接口通常被称为OpenAPI。OpenAPI由于具有标准化、通用性等优势，不断被运用到“快捷”服务场景，比如开放API银行，互联网开放医院等信息化项目中。

　　可见，API虽然不为大众所知，但在技术、开发人员眼里则是“必需品”，可以说几乎没有人可以绕过其构建信息系统和App。可以预见，API在今后将继续扮演连接用户前台与后台服务的关键桥梁作用，其类型、性能等还将进一步扩展，应用范围还将进一步扩大。