关于 API 安全的问题

关于 API 安全的问题，主要就是以下几个问题，不一定完整： 一、身份鉴定。这个可以使用 Oauth 2.0 规范，或者带有不对称密钥加密的 token，选择 JWT 等形式，配合身份鉴定系统来保证。 二、内容防篡改。可以使用数字签名算法来进行哈希校验，强制 HTTPS 通信。最新的系统可以考虑 http/2。 三、DDoS 攻击。通过设置防火墙，控制 API 调用频率，例如协议的 rate-limit 等设置来进行沟通和控制。 四、注入攻击。这个需要从输入校验、编解码、输入过滤和转化方面着手，主流框架都有基本的防注入设计。 五、同源策略。通过正确的配置 CORS 来防止异常调用，但是只对浏览器有效。对于移动端可以通过分发证书或者 token 来验证有效的调用来源。 六、中间人攻击。这个貌似没有想到太好的办法，只能在调用端提示用户处于不安全网络，有攻击风险而自行规避。等等还有其他的方法