Varför API:er är särskilt sårbara
Programmatiska gränssnitt kopplar samman interna och externa system, bearbetar känsliga data och fungerar automatiserat — utan mänsklig validering vid varje anrop. Traditionella nätverksperimeterskydd räcker inte när varje auktoriserad klient kan göra tusentals förfrågningar per minut. OWASP API Security Top 10 dokumenterar återkommande sårbarhetskategorier, varav många inte beror på kodfel utan på otillräcklig säkerhetsdesign på arkitekturnivå.
Autentisering och auktorisering — grunden
OAuth2 med Authorization Code-flöde och PKCE utgör guldstandarden för API:er som nås via klientapplikationer. För server-till-server-kommunikation är Client Credentials-flödet med kortlivade åtkomsttoken lämpligt. Kritiska fel som måste elimineras i designfasen är: lagring av token i localStorage istället för flyktigt minne, avsaknad av validering av behörighetsomfattning vid varje anrop, utelämnande av audience-fältverifiering i JWT-token samt användning av statiska API-nycklar utan rotationsmekanism.
- Åtkomsttoken: maximal livslängd 15-60 minuter
- Uppdateringstoken: lagrade i säkra, httpOnly cookies eller säker serverlagring
- API-nyckelrotation: obligatorisk, automatiserad, utan driftstopp
- Inspektion av varje anrop avseende behörighetsomfattning — inte bara vid inloggning
Rate limiting som skydd mot missbruk
Begränsning av antalet anrop per tidsenhet skyddar API:er mot flera hotkategorier samtidigt: brute force-attacker mot inloggningsuppgifter, dataskrapning, DDoS-attacker riktade mot affärslogik och oavsiktlig överbelastning av felaktiga klienter. Effektiv rate limiting kräver granularitet — olika gränser för oautentiserade förfrågningar, autentiserade användare och partners med förhöjt förtroende. Gränserna bör tillämpas på IP-adress, användar-ID och API-nyckel kombinerat.
Det är viktigt att uppmärksamma korrekt felkodning — kod 429 Too Many Requests bör innehålla Retry-After-header, vilket möjliggör korrekt klientbeteende och minskar antalet upprepade försök. Alltför restriktiva gränser skapar frustration hos användare och försvårar problemdiagnostik.
WAF och API-trafikinspektion
Nästa generations Web Application Firewalls förstår API-strukturen — de verifierar JSON-korrekthet, detekterar injektionsförsök i fältvärden, blockerar kända exploitmönster och övervakar anomalier i payloadstorlekar och anropsfrekvenser. WAF-konfiguration för API:er kräver ett annat tillvägagångssätt än för traditionella webbapplikationer — reglerna måste ta hänsyn till varje endpoints specificitet, tillåtna datatyper och -storlekar samt förväntade användningsmönster.
Övervakning och anomalidetektering
Även den bäst konfigurerade API:n kräver kontinuerlig övervakning. Anomalidetekteringssystem lär sig normala användningsmönster — tidpunkter, typiska anropssekvenser, IP-adressfördelning — och larmar vid avvikelser. Särskilt värdefullt är att övervaka anrop som avslutas med 401- och 403-fel (obehöriga åtkomstförsök), ovanliga svarsstorlekar (potentiell dataläcka) och sekvenser som antyder resursenumrering.
ESKOM.AI designar API-säkerhet som inbyggt arkitekturelement, inte som ett efterhandslager. Varje API som utforskas av automatiseringssystemet genomgår en sårbarhetsbedömning enligt OWASP API Top 10 före produktionssättning.