Kāpēc API ir īpaši ievainojami?
Programmēšanas saskarnes apvieno iekšējās un ārējās sistēmas un apstrādā jutīgus datus automatizēti. OWASP API Security Top 10 dokumentē atkārtojošās ievainojamību klases.
Autentifikācija un autorizācija
OAuth2 ar Authorization Code un PKCE plūsmu ir zelta standarts.
- Piekļuves tokeni: maksimālais dzīves ilgums 15-60 minūtes
- Atjaunošanas tokeni: drošos httpOnly sīkfailos
- API atslēgu rotācija: obligāta, automatizēta
- Katra izsaukuma tiesību pārbaude
Rate limiting
Aizsardzība pret brute force, datu scraping, DDoS un nejaušu pārslogošanu.
WAF un API trafika pārbaude
Jaunas paaudzes WAF saprot API struktūru.
Monitorings un anomāliju noteikšana
ESKOM.AI projektē API drošību kā integrētu arhitektūras elementu.