API 安全的常見解決方?案?有哪些

API安全的常見解決方案有以下這些：

• API安全網關方案：API技術的興起伴隨著技術架構上的變化，由于Http協議的問題造成了很大安全隱患。為了保障安全，需要開發者在開發階段針對API加入鑒權、認證以及防篡改方面的安全工作。同時，需要API網關之類的安全防護產品作出相應配置。市場上出現了以獨立的API網關為主的API安全解決方案，但在實際應用中發現，這種方案落地困難且成本較高，企業更傾向于使用應用開發者自建的API網關，專業的基于API網關的API安全方案沒有獲得預想的成功，于是API網關的產品形態還在繼續演進。

• 基于數據分析的API安全方案：通過AI技術對API的訪問行為進行分析，發現API的各種異常訪問行為，提供API的管理。與API安全網關方案相比，此方案缺少的是安全威脅防控能力。

• MD5方案：與APP端開發人員約定特定的md5組合算法，然后兩端比對一下，如果相同就allow，不相同就deny；但是，這也是不安全的，如果APP程序被反編譯，這些約定的算法就會暴露，特別是在安卓APP中，有了算法，完全就可以模擬接口請求通過驗證。

• Token方案：會員登錄的時候請求登錄接口，然后服務器端返回給客戶端一個token，該token生成的規則是網站公鑰+當前uid+當前時間戳+一段隨機數雙重加密，根據需求決定是把該token放進cache等一段時間自動失效，還是放進數據庫（如果要放進數據庫的話，單獨拎出一張表來，順便記錄用戶的登錄，登出時間），在用戶登出登錄的時候改變一下，確保該token只能在用戶人為登出登錄之間有用。為保安全，應保證讓用戶在一段時間內自動退出；此方案配合Linux和數據庫的權限管理可以防外又防內。

• 對稱加密方案：通過對稱加密算法，該加密算法對uid+網站公鑰進行時效加密，在一定時效內可用。在會員登錄成功時，服務器端對該ID加密后返回給客戶端，客戶端每次請求接口的時候帶上該參數，服務器端通過解密認證。但是這樣做，也是不安全的。因為，防外不防內，聽說這次的攜程宕機就是因為內部離職人員的惡意操作。內部不懷好意的人員如果知道相應的算法規則后，就算沒有數據庫權限，也可以通過接口來操作相關會員。

回答所涉及的環境：聯想天逸510S、Windows 10。