适读人群 ：网络安全人员、软件开发人员、系统架构师以及高等院校相关专业师生
《API安全技术与实战》融合了信息安全行业资深技术专家10多年一线实战经验，采用理论和实践相结合的模式，
深度剖析了API安全漏洞、API安全设计以及API生命周期安全管理等内容。语言简练、内容实用，难点处配有二维码视频，使读者身临其境，迅速、深入地掌握各种经验和技巧。

随着API技术的发展和广泛使用，API安全问题越来越受到人们的重视。《API安全技术与实战》从API安全的视角出发，介绍了API 技术的发展和变化以及不同API技术中常见的安全漏洞，探讨了如何使用自动化安全工具检测API 安全漏洞、如何使用API安全设计规避漏洞。全书从API安全漏洞基础知识入手，逐步讲解API安全设计、API安全治理等内容，并结合头部互联网企业的API安全案例，分析业界API安全的*佳实践，是国内首本讲解API安全知识和技术实战的专业书籍。
《API安全技术与实战》适合网络安全人员、软件开发人员、系统架构师以及高等院校相关专业师生阅读学习。

出版说明
前言
第1篇 基 础 篇
第1章 API的前世今生
1.1 什么是API
1.2 API的发展历史
1.2.1 Web技术发展的4个阶段
1.2.2 现代API的类型划分
1.3 现代API常用的协议和消息格式
1.3.1 REST成熟度模型
1.3.2 RESTful API技术
1.3.3 GraphQL API技术
1.3.4 SOAP API技术
1.3.5 gRPC API技术
1.3.6 类XML-RPC及其他API技术
1.4 Top N互联网企业API使用现状
1.4.1 API开放平台发展历程
1.4.2 API在腾讯的使用现状
1.4.3 API在百度的使用现状
1.5 小结
第2章 API安全的演变
2.1 API安全现状
2.1.1 什么是API安全
2.1.2 API安全问题主要成因
2.1.3 API安全面临的主要挑战
2.2 API 安全漏洞类型
2.2.1 常见的API安全漏洞类型
2.2.2 OWASP API安全漏洞类型
2.3 API安全前景与趋势
2.4 小结
第3章 典型API安全漏洞剖析
3.1 Facebook OAuth漏洞
3.1.1 OAuth漏洞基本信息
3.1.2 OAuth漏洞利用过程
3.1.3 OAuth漏洞启示
3.2 PayPal委托授权漏洞
3.2.1 委托授权漏洞基本信息
3.2.2 委托授权漏洞利用过程
3.2.3 委托授权漏洞启示
3.3 API KEY泄露漏洞
3.3.1 API KEY泄露漏洞基本信息
3.3.2 API KEY泄露漏洞利用过程
3.3.3 API KEY泄露漏洞启示
3.4 Hadoop管理API漏洞
3.4.1 Hadoop管理API漏洞基本信息
3.4.2 Hadoop管理API漏洞利用过程
3.4.3 Hadoop管理API漏洞启示
3.5 Apache SkyWalking管理插件GraphQL API漏洞
3.5.1 GraphQL API漏洞基本信息
3.5.2 GraphQL API漏洞利用过程
3.5.3 GraphQL API漏洞启示
3.6 小结
第4章 API安全工具集
4.1 工具分类
4.2 典型工具介绍
4.2.1 API安全小贴士
4.2.2 Burp Suite工具
4.2.3 Postman工具
4.2.4 SoapUI工具
4.3 其他工具介绍
4.3.1 自动化工具
4.3.2 经典安全工具
4.3.3 辅助类工具及综合类工具
4.4 小结
第5章 API渗透测试
5.1 API渗透测试的基本流程
5.1.1 API渗透测试的关键点
5.1.2 API渗透测试注意事项
5.2 API渗透测试步骤
5.2.1 信息收集
5.2.2 漏洞发现
5.2.3 漏洞利用
5.2.4 报告撰写
5.3 API渗透测试的特点
5.3.1 RESTful API类
5.3.2 GraphQL API类
5.3.3 SOAP API类
5.3.4 RPC及其他API类
5.4 API安全工具典型用法
5.4.1 SoapUI+Burp Suite使用介绍
5.4.2 Astra工具使用介绍
5.5 小结
第2篇 设 计 篇
第6章 API安全设计基础
6.1 API安全设计原则
6.1.1 5A原则
6.1.2 纵深防御原则
6.2 API安全关键技术
6.2.1 API安全技术栈
6.2.2 身份认证技术
6.2.3 授权与访问控制技术
6.2.4 消息保护技术
6.2.5 日志审计技术
6.2.6 威胁防护技术
6.3 常用场景安全设计
6.3.1 API安全中南北向流量与东西向流量的概念
6.3.2 API网关与南北向安全设计
6.3.3 微服务与东西向安全设计
6.4 小结
第7章 API身份认证
7.1 身份认证的基本概念
7.1.1 身份认证在API安全中的作用
7.1.2 身份认证技术包含的要素
7.2 常见的身份认证技术
7.2.1 基于HTTP Basic基本认证
7.2.2 基于API KEY签名认证
7.2.3 基于SOAP消息头认证
7.2.4 基于Token系列认证
7.2.5 基于数字证书认证
7.3 常见的身份认证漏洞
7.3.1 针对回调URL的攻击
7.3.2 针对客户端认证凭据的攻击
7.3.3 基于JSON数据结构的攻击
7.3.4 针对OpenID Connect授权范围的攻击
7.4 业界最佳实践
7.4.1 案例之微软Azure云 API身份认证
7.4.2 案例之支付宝第三方应用API身份认证
7.5 小结
第8章 API授权与访问控制
8.1 授权与访问控制的基本概念
8.1.1 授权的含义
8.1.2 访问控制的含义
8.2 API授权与访问控制技术
8.2.1 OAuth 2.0协议
8.2.2 RBAC模型
8.2.3 其他授权与访问控制技术
8.3 常见的授权与访问控制漏洞
8.3.1 OAuth 2.0协议相关漏洞
8.3.2 其他类型的授权或访问控制漏洞
8.4 业界最佳实践
8.4.1 案例之OAuth在百度开放云平台的使用
8.4.2 案例之微信公众平台第三方平台API授权访问
8.5 小结
第9章 API消息保护
9.1 传输层消息保护
9.1.1 TLS安全特性
9.1.2 TLS握手过程
9.1.3 TLS证书使用
9.2 应用层消息保护
9.2.1 JWT及JOSE相关技术
9.2.2 Paseto技术
9.2.3 XML及其他格式消息保护
9.3 常见的消息保护漏洞
9.3.1 JWT校验机制绕过漏洞
9.3.2 JWT加解密和算法相关漏洞
9.3.3 其他消息保护类型的漏洞
9.4 业界最佳实践
9.4.1 案例之百度智能小程序OpenCard消息保护
9.4.2 案例之微信支付消息保护
9.5 小结
第3篇 治 理 篇
第10章 API安全与SDL
10.1 SDL简介
10.1.1 SDL的基本含义
10.1.2 SDL对API安全的意义
10.2 SDL之API安全培训

对大多数IT技术人员来说，API这个词并不陌生。而对架构师、研发工程师、安全工程师来说，API则更是日常工作中接触并熟知的内容。从2008年国内API经济活跃伊始，各个互联网企业纷纷构建自己的API开放平台，2012年API模式日益成熟，大量API安全问题在2013年之后也逐渐暴露出来。如今，仍可以通过漏洞平台、安全大会议题、企业安全应急响应中心看到这些痕迹。虽然API安全问题或安全事件时有发生，但企业对API安全的真正重视程度，仍比技术应用落后很多。这其中固然有企业的原因，但技术人员自身API安全知识的缺乏也是其中的重要因素之一，再加上已出版的关于API安全的图书尤其少，于是作者决定写一本API安全方面的专业书籍。
1．本书的主要内容和特色
本书主要是为IT技术人员提供API安全知识和技术实战方面的案例讲解，采用理论和实践相结合的模式，由基础篇、设计篇、治理篇三个部分组成，为读者讲述API安全的基本概况、API安全漏洞、API安全设计以及API生命周期安全管理等内容。
基础篇包括第1～5章。
第1章 API的前世今生 结合互联网技术的发展，介绍API技术的发展。重点围绕当下不同的API技术，如RESTful API技术、GraphQL API技术、SOAP API技术等，来介绍其技术特点。最后，简要讲述了头部互联网公司API的使用现状。
第2章 API安全的演变 以API安全的含义为切入点，讲述API安全关注的重点内容、API漏洞类型以及API安全的未来趋势。
第3章 典型API安全漏洞剖析 从最近三年的安全漏洞案例中，精心挑选出5个有代表性的案例，分别从漏洞基本信息、漏洞利用过程、漏洞启示三个方面，为读者讲述典型的API安全漏洞原理。
第4章 API安全工具集 结合API生命周期，从需求、设计、编码、测试、运维等角度，介绍与API安全相关的工具，并对部分工具做了重点说明。
第5章 API渗透测试 参考业界标准渗透基本流程，介绍了API渗透测试过程中的注意事项和关键点，并分析了RESTful API、GraphQL API、SOAP API等API渗透测试技术的特点。最后，通过案例讲述了API安全工具的典型用法。
设计篇包括第6～9章。
第6章 API安全设计基础 介绍了API安全设计技术栈，并结合5A原则和纵深防御原则，对不同的API安全关键技术做了简要讲述，帮助读者初步构建API安全设计的整体概念。最后，以API安全中南北向、东西向场景为例，分别做了导入性的案例分析。
第7章 API身份认证 从身份认证的概念入手，主要讲述了HTTP Basic基本认证、AK/SK认证、Token认证等API身份认证技术，并重点介绍了OpenID Connect身份认证协议及常见安全漏洞。最后，结合微软Azure云、支付宝第三方应用公开文档，分析了API身份认证技术的安全设计细节。
第8章 API授权与访问控制 结合授权与访问控制的基本概念，重点讲述了OAuth 2.0协议、RBAC模型的相关流程与设计，分析了常见授权与访问控制的安全漏洞成因。最后，结合百度开放云平台、微信公众平台等第三方平台公开文档，分析了API授权与访问控制技术的安全设计细节。
第9章 API消息保护 主要从传输层、应用层介绍了消息保护相关技术及常见漏洞，如TLS、JWT、JOSE、Paseto技术等。最后，结合百度智能小程序OpenCard、微信支付的官方文档，对消息保护过程进行了案例分析。
治理篇包括第10～13章。
第10章 API安全与SDL 结合微软SDL模型，讲述了在API生命周期安全管理中涉及的安全活动，并挑选出了关键的安全活动从活动实践、工具依赖两个方面展开叙述，为下一章做知识导入。
第11章 API安全与DevSecOps 从DevSecOps视角，重点介绍了API安全在工具链和自动化管理上的实践，比如设置关键卡点、引入API网关、接入WAF等。
第12章 API安全与API网关 从开源API安全产品的角度，分析API网关的基本产品组成部分以及上下文关系，并对Kong API网关、WSO2 API管理平台做了重点介绍。最后，结合花椒直播Kong应用实践做了案例分析。
第13章 API安全与数据隐私 从隐私保护的视角，结合数据安全的生命周期，介绍了API安全中如何保护数据隐私，并结合Microsoft API 使用条款、京东商家开放平台API敏感信息处理两个案例，分析了API安全中的数据隐私实践。
2．本书面向的读者
本书适用于网络安全人员、软件开发人员、系统架构师以及高等院校相关专业师生阅读学习。
? 网络安全人员：主要是从事Web渗透测试、攻防对抗、SDL运营等相关人员，帮助此类人员快速建立API安全相关知识脉络，构建API基础安全知识框架。
? 软件开发人员：主要是从事API技术开发相关人员，帮助此类人员厘清API相关技术栈和典型安全漏洞，能运用工具有效提高开发质量。
? 系统架构师：主要是致力于提高系统安全性的架构师，能帮助架构师有效地厘清API安全技术，并通过案例分析，指导API安全设计。
? 高等院校相关专业师生：了解API安全知识，尤其是与API安全技术相关的漏洞、工具、协议、流程等。
3．致谢
借本书的出版，感谢我在网络安全行业中工作过的企业，是它们给了我学习和锻炼的机会，尤其是亚信安全的郑海刚和孙勇，一位是带领我进入网络安全行业的引路人，另一位则是