498科技訊：自2019年1月，中央網信辦、工信部、公安部、市場監督管理總局四部門聯合開展“App違法違規收集使用個人信息專項治理”以來，隨著《APP違法違規收集使用個人信息行為認定方法》《個人信息安全規范》等標準規范相繼出臺完善，App運營者普遍關注和重視App個人信息保護的氛圍基本形成，無隱私政策、強制索權、無注銷渠道等問題明顯改善。

     想了解api接口、支付接口相關問題的朋友，歡迎撥打咨詢熱線：400 0591 498 或者點擊留言，498科技免費為大家提供咨詢和解答。

       關注App安全，一方面要關注App收集使用個人信息流程上的合規，切實保障用戶權利，例如App是否有隱私政策，是否在申請權限時進行目的告知，收集個人敏感信息時是否明示告知，是否征得用戶同意后收集個人信息，是否可以響應用戶的更正、刪除等權利等等;另一方面，也要關注App個人信息保護的措施有無落實到位，而要做到這一點，需要App運營者不斷“修煉內功”，其實并非易事。

　　就在近期，Facebook(臉書)再次被曝出由于其API(應用程序接口)可能存在安全漏洞，導致Facebook一個存有2億余條記錄的數據庫被公開，有兩周時間它可以被任何人訪問，其中每條記錄包括Facebook用戶的ID、姓名以及電話號碼等個人信息。無獨有偶，新浪微博也被曝出有5.38億條微博用戶信息在暗網出售，其中1.72億有賬號基本信息，包括用戶ID、性別、地理位置等。

       對此，微博方面回應稱此次的數據泄漏源于2019年被黑灰產利用通訊錄上傳接口進行暴力匹配，通過通訊錄、手機號反查微博好友昵稱的方式，獲取大量賬號、昵稱、賬號與手機信息的綁定關系等。此外，檢測評估也發現，個別人臉識別、疫情防控等相關的App、小程序等也因為API接口安全措施不足，大量個人信息存在被非授權遍歷、進而導致數據被泄露的風險。

　　一言以概之，API接口安全一旦出現問題，可能導致的不是一兩個、幾百、幾千個人信息的泄露，而是涉及百萬、千萬、甚至億級個人信息的數量，這也是黑灰產盜取大量個人信息的常見渠道。而實際情況是，承載數據交互的API接口往往由于其“不可見”的特點，其安全問題易被App運營者忽略。API接口基本原理如何，為何重要?存在哪些安全風險?應采取哪些安全措施?本文將逐一詳解。

　　API的基本原理和應用場景

　　App已經被大家所熟知，是移動互聯網應用程序(Application)的簡稱，也是應用層軟件向手機終端的延伸，是企業業務場景服務線上客戶(To C)的主要渠道。而API則是應用程序接口(Application Programming Interface)的簡稱，其含義比較寬泛，泛指一組定義、程序及協議的集合。本文主要探討將前端App界面與后端服務器相連接的一類API，其主要以網絡通信方式進行交互，此類API通過預先設定的參數維持前端界面與后臺服務器之間的數據互通，是當下應用最為廣泛的技術解決方案。

　　該類API的主要由通信協議、域名、路徑、請求方式、傳入參數、響應參數和接口文檔等部分組成。常見的API的請求方式通常有GET、POST、PUT和DELETE。而API根據使用的協議和架構的不同也可以分為SOAP(簡單對象訪問協議)API和RESTful(表述性狀態傳遞)API，其中SOAP API是Web服務安全性內置協議，采用保密和身份驗證規則集的方式，支持結構化信息標準促進組織(OASIS)和萬維網聯盟(W3C)制定的標準，它們結合使用XML加密、XML簽名和SAML令牌等方式來驗證身份和授權，而REST API支持HTTP以及HTTPS兩種傳輸協議，不需要存儲或重新打包數據，因此傳輸速度比SOAP API協議要快得多。簡言之，SOAP API更安全，適合處理敏感數據的機構，但同時也更為笨重;而RESTful API更為輕便，但是安全性能有待加強。

　　API的出現，使得使用不同編程語言、不同操作系統、不同版本的App與后臺服務器的交互，以及App之間的交互更加順暢。API不僅為App的開發提供了便捷，它也是SDK(Software Development Kit，軟件開發工具包)與其后臺服務端實現交互功能必不可少的組件。

　　除App和SDK依賴API外，API自身還能被單獨包裝成一種服務模式。隨著移動互聯智能化技術的推進，越來越多的企業將服務封裝成數據接口進行開放，供第三方開發者使用，這類API接口通常被稱為OpenAPI。OpenAPI由于具有標準化、通用性等優勢，不斷被運用到“快捷”服務場景，比如開放API銀行，互聯網開放醫院等信息化項目中。

　　可見，API雖然不為大眾所知，但在技術、開發人員眼里則是“必需品”，可以說幾乎沒有人可以繞過其構建信息系統和App。可以預見，API在今后將繼續扮演連接用戶前臺與后臺服務的關鍵橋梁作用，其類型、性能等還將進一步擴展，應用范圍還將進一步擴大。