聯(lián)智應(yīng)用程序接口安全與管理軟件

產(chǎn)品研發(fā)背景

01. API爆炸的年代

02. 九宗罪云計算面臨的主要威脅

03. 案例分析

某市社保局開放社保信息查詢API給市圖書館辦理圖書卡，圖書館開發(fā)人員利用API接口權(quán)限漏洞，獲取社保人員信息，謀取私利; 某市公安局開放身份證查詢API給市社保局做參保人員信息比對業(yè)務(wù)，市社保局開發(fā)人員利用API漏洞，通過循環(huán)調(diào)用該API,很快獲取了該市所有人員的身份證信息。

分析: 這類API沒有任何權(quán)限認(rèn)證，知道接口規(guī)范的人員可以在任何時間、任何地點(diǎn)使用。

產(chǎn)品涉及的范圍及架構(gòu)

產(chǎn)品特點(diǎn)

? 基于OAuth2的API訪問控制(認(rèn)證和授權(quán))
? 靈活的用戶角色、權(quán)限配置
? 基于動態(tài)調(diào)配最優(yōu)策略的API配置
? 完善的API生命周期和版本管理功能
? 數(shù)據(jù)傳輸安全性

? 靈活部署及可擴(kuò)展性
? 靈活訂閱權(quán)限控制、節(jié)流限制設(shè)置
? 支持多種HTTP動作 (GET, POST, PUT, DELETE, OPTIONS, PATCH, HEAD)
? 支持多種API風(fēng)格類型的封裝(協(xié)議: SOAP/REST、數(shù)據(jù)格式: JSON/XML)
? 日志系統(tǒng)采用異步、批量、輕量的方式

產(chǎn)品功能簡介

API密鑰管理 | API key management

? 每個用戶管理多個應(yīng)用APP
? 每個應(yīng)用APP是多個API的集合
? 每個用戶可以為管理的某個應(yīng)用APP訂閱某個API

AP門戶-管理員 | AP Portal-Administrator

? 管理員審核用戶創(chuàng)建，應(yīng)用注冊
? API狀態(tài)改變等
? 管理員配置報警場景，報警管理等
? 管理員分析錯誤數(shù)據(jù)(調(diào)用錯誤，Token錯誤,登錄錯誤等)
? 管理員分析API可用性
? 管理員配置限制策略

AP門戶-發(fā)布 | AP Portal-Release

? API創(chuàng)建者建立API, 支持多種API風(fēng)格類型的封裝方法(協(xié)議:SOAP/REST、數(shù)據(jù)格式JSON/XML )
? API發(fā)布者審核通過后發(fā)布到AP門戶.上供其他開發(fā)者使用
? API創(chuàng)建完成，很重要的一部分工作就是要提交文檔、案例、使用指南及其他支持信息

AP門戶-訂閱 | AP Portal-Subscription

? 除了原型API，其它API都需要訂閱API才能調(diào)用
? 調(diào)用API需要獲取API的生產(chǎn)環(huán)境或沙箱測試令牌
? API網(wǎng)關(guān)根據(jù)傳遞過來的令牌類型路由至相應(yīng)的端點(diǎn)

API監(jiān)控與分析 | API monitoring and analysis

具有對API訂閱和調(diào)用進(jìn)行實(shí)時監(jiān)控的功能包括統(tǒng)計API各版本的訂閱情況各版本的調(diào)用次數(shù) API的響應(yīng)時間和最后訪問時間， API各個資源路徑的使用情況錯誤請求等。