498科技訊：自2019年1月，中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)督管理總局四部門(mén)聯(lián)合開(kāi)展“App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理”以來(lái)，隨著《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《個(gè)人信息安全規(guī)范》等標(biāo)準(zhǔn)規(guī)范相繼出臺(tái)完善，App運(yùn)營(yíng)者普遍關(guān)注和重視App個(gè)人信息保護(hù)的氛圍基本形成，無(wú)隱私政策、強(qiáng)制索權(quán)、無(wú)注銷(xiāo)渠道等問(wèn)題明顯改善。

     想了解api接口、支付接口相關(guān)問(wèn)題的朋友，歡迎撥打咨詢(xún)熱線：400 0591 498 或者點(diǎn)擊留言，498科技免費(fèi)為大家提供咨詢(xún)和解答。

       關(guān)注App安全，一方面要關(guān)注App收集使用個(gè)人信息流程上的合規(guī)，切實(shí)保障用戶(hù)權(quán)利，例如App是否有隱私政策，是否在申請(qǐng)權(quán)限時(shí)進(jìn)行目的告知，收集個(gè)人敏感信息時(shí)是否明示告知，是否征得用戶(hù)同意后收集個(gè)人信息，是否可以響應(yīng)用戶(hù)的更正、刪除等權(quán)利等等;另一方面，也要關(guān)注App個(gè)人信息保護(hù)的措施有無(wú)落實(shí)到位，而要做到這一點(diǎn)，需要App運(yùn)營(yíng)者不斷“修煉內(nèi)功”，其實(shí)并非易事。

　　就在近期，F(xiàn)acebook(臉書(shū))再次被曝出由于其API(應(yīng)用程序接口)可能存在安全漏洞，導(dǎo)致Facebook一個(gè)存有2億余條記錄的數(shù)據(jù)庫(kù)被公開(kāi)，有兩周時(shí)間它可以被任何人訪問(wèn)，其中每條記錄包括Facebook用戶(hù)的ID、姓名以及電話號(hào)碼等個(gè)人信息。無(wú)獨(dú)有偶，新浪微博也被曝出有5.38億條微博用戶(hù)信息在暗網(wǎng)出售，其中1.72億有賬號(hào)基本信息，包括用戶(hù)ID、性別、地理位置等。

       對(duì)此，微博方面回應(yīng)稱(chēng)此次的數(shù)據(jù)泄漏源于2019年被黑灰產(chǎn)利用通訊錄上傳接口進(jìn)行暴力匹配，通過(guò)通訊錄、手機(jī)號(hào)反查微博好友昵稱(chēng)的方式，獲取大量賬號(hào)、昵稱(chēng)、賬號(hào)與手機(jī)信息的綁定關(guān)系等。此外，檢測(cè)評(píng)估也發(fā)現(xiàn)，個(gè)別人臉識(shí)別、疫情防控等相關(guān)的App、小程序等也因?yàn)锳PI接口安全措施不足，大量個(gè)人信息存在被非授權(quán)遍歷、進(jìn)而導(dǎo)致數(shù)據(jù)被泄露的風(fēng)險(xiǎn)。

　　一言以概之，API接口安全一旦出現(xiàn)問(wèn)題，可能導(dǎo)致的不是一兩個(gè)、幾百、幾千個(gè)人信息的泄露，而是涉及百萬(wàn)、千萬(wàn)、甚至億級(jí)個(gè)人信息的數(shù)量，這也是黑灰產(chǎn)盜取大量個(gè)人信息的常見(jiàn)渠道。而實(shí)際情況是，承載數(shù)據(jù)交互的API接口往往由于其“不可見(jiàn)”的特點(diǎn)，其安全問(wèn)題易被App運(yùn)營(yíng)者忽略。API接口基本原理如何，為何重要?存在哪些安全風(fēng)險(xiǎn)?應(yīng)采取哪些安全措施?本文將逐一詳解。

　　API的基本原理和應(yīng)用場(chǎng)景

　　App已經(jīng)被大家所熟知，是移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(Application)的簡(jiǎn)稱(chēng)，也是應(yīng)用層軟件向手機(jī)終端的延伸，是企業(yè)業(yè)務(wù)場(chǎng)景服務(wù)線上客戶(hù)(To C)的主要渠道。而API則是應(yīng)用程序接口(Application Programming Interface)的簡(jiǎn)稱(chēng)，其含義比較寬泛，泛指一組定義、程序及協(xié)議的集合。本文主要探討將前端App界面與后端服務(wù)器相連接的一類(lèi)API，其主要以網(wǎng)絡(luò)通信方式進(jìn)行交互，此類(lèi)API通過(guò)預(yù)先設(shè)定的參數(shù)維持前端界面與后臺(tái)服務(wù)器之間的數(shù)據(jù)互通，是當(dāng)下應(yīng)用最為廣泛的技術(shù)解決方案。

　　該類(lèi)API的主要由通信協(xié)議、域名、路徑、請(qǐng)求方式、傳入?yún)?shù)、響應(yīng)參數(shù)和接口文檔等部分組成。常見(jiàn)的API的請(qǐng)求方式通常有GET、POST、PUT和DELETE。而API根據(jù)使用的協(xié)議和架構(gòu)的不同也可以分為SOAP(簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議)API和RESTful(表述性狀態(tài)傳遞)API，其中SOAP API是Web服務(wù)安全性?xún)?nèi)置協(xié)議，采用保密和身份驗(yàn)證規(guī)則集的方式，支持結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織(OASIS)和萬(wàn)維網(wǎng)聯(lián)盟(W3C)制定的標(biāo)準(zhǔn)，它們結(jié)合使用XML加密、XML簽名和SAML令牌等方式來(lái)驗(yàn)證身份和授權(quán)，而REST API支持HTTP以及HTTPS兩種傳輸協(xié)議，不需要存儲(chǔ)或重新打包數(shù)據(jù)，因此傳輸速度比SOAP API協(xié)議要快得多。簡(jiǎn)言之，SOAP API更安全，適合處理敏感數(shù)據(jù)的機(jī)構(gòu)，但同時(shí)也更為笨重;而RESTful API更為輕便，但是安全性能有待加強(qiáng)。

　　API的出現(xiàn)，使得使用不同編程語(yǔ)言、不同操作系統(tǒng)、不同版本的App與后臺(tái)服務(wù)器的交互，以及App之間的交互更加順暢。API不僅為App的開(kāi)發(fā)提供了便捷，它也是SDK(Software Development Kit，軟件開(kāi)發(fā)工具包)與其后臺(tái)服務(wù)端實(shí)現(xiàn)交互功能必不可少的組件。

　　除App和SDK依賴(lài)API外，API自身還能被單獨(dú)包裝成一種服務(wù)模式。隨著移動(dòng)互聯(lián)智能化技術(shù)的推進(jìn)，越來(lái)越多的企業(yè)將服務(wù)封裝成數(shù)據(jù)接口進(jìn)行開(kāi)放，供第三方開(kāi)發(fā)者使用，這類(lèi)API接口通常被稱(chēng)為OpenAPI。OpenAPI由于具有標(biāo)準(zhǔn)化、通用性等優(yōu)勢(shì)，不斷被運(yùn)用到“快捷”服務(wù)場(chǎng)景，比如開(kāi)放API銀行，互聯(lián)網(wǎng)開(kāi)放醫(yī)院等信息化項(xiàng)目中。

　　可見(jiàn)，API雖然不為大眾所知，但在技術(shù)、開(kāi)發(fā)人員眼里則是“必需品”，可以說(shuō)幾乎沒(méi)有人可以繞過(guò)其構(gòu)建信息系統(tǒng)和App。可以預(yù)見(jiàn)，API在今后將繼續(xù)扮演連接用戶(hù)前臺(tái)與后臺(tái)服務(wù)的關(guān)鍵橋梁作用，其類(lèi)型、性能等還將進(jìn)一步擴(kuò)展，應(yīng)用范圍還將進(jìn)一步擴(kuò)大。