Day-048-API 安全基础

# Day 46: API 安全基础

> Web 安全系列第 16 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [API 安全概述](#api 安全概述)
2. [REST API 安全](#rest-api 安全)
3. [GraphQL 安全](#graphql 安全)
4. [API 认证机制](#api 认证机制)
5. [API 授权模型](#api 授权模型)
6. [API 速率限制](#api 速率限制)
7. [API 漏洞类型](#api 漏洞类型)
8. [API 安全测试](#api 安全测试)
9. [防护策略与最佳实践](#防护策略与最佳实践)
10. [总结与思考](#总结与思考)
11. [参考资料](#参考资料)

---

## API 安全概述

### 什么是 API

API（Application Programming Interface，应用程序编程接口）是不同软件系统之间通信的接口规范。

**形象理解**：
如果把软件系统比作餐厅，那么：
- **API** = 服务员（传递顾客和厨房之间的信息）
- **请求** = 顾客点菜
- **响应** = 厨房出菜
- **安全问题** = 服务员可能被欺骗或滥用

**API 类型**：
```
1. REST API（Representational State Transfer）
   - 基于 HTTP 协议
   - 使用 JSON/XML 格式
   - 无状态通信
   - 最常用

2. GraphQL API
   - 查询语言
   - 客户端定义数据结构
   - 单一端点
   - 灵活查询

3. SOAP API（Simple Object Access Protocol）
   - 基于 XML
   - 严格规范
   - WS-Security
   - 企业级使用

4. RPC API（Remote Procedure Call）
   - 远程过程调用
   - gRPC
   - 高性能
   - 微服务常用
```

**API 安全重要性**：
```
1. 数据暴露风险
   - API 直接访问数据
   - 过度数据暴露
   - 敏感信息泄露

2. 业务逻辑风险
   - 绕过前端验证
   - 直接调用后端
   - 业务逻辑漏洞

3. 认证授权风险
   - 令牌泄露
   - 权限绕过
   - 未授权访问

4. 滥用风险
   - DDoS 攻击
   - 爬虫滥用
   - 资源耗尽
```

**真实案例**：
```
案例 1: 某社交平台 API（2019）
- 漏洞：API 未授权访问
- 影响：数亿用户数据
- 手法：遍历用户 ID
- 后果：大规模数据泄露

案例 2: 某银行 API（2020）
- 漏洞：API 速率限制缺失
- 影响：账户被盗刷
- 手法：暴力破解转账
- 后果：资金损失

案例 3: 某电商平台 API（2021）
- 漏洞：GraphQL 注入
- 影响：数据库泄露
- 手法：深度查询攻击
- 后果：敏感数据泄露
```

---

## REST API 安全

### REST 基础

**REST 原则**：
```
1. 客户端 - 服务器架构
   分离关注点
   独立演进

2. 无状态
   每个请求包含所有信息
   服务器不保存会话

3. 可缓存
   响应可缓存
   提高性能

4. 统一接口
   资源标识（URI）
   标准 HTTP 方法
   自描述消息
```

**HTTP 方法**：
```
GET    - 获取资源
POST   - 创建资源
PUT    - 更新资源（全量）
PATCH  - 更新资源（部分）
DELETE - 删除资源
OPTIONS- 获取支持的方法
HEAD   - 获取元数据
```

**状态码**：
```
2xx - 成功
200  OK
201  Created
204  No Content

3xx - 重定向
301  Moved Permanently
302  Found
304  Not Modified

4xx - 客户端错误
400  Bad Request
401  Unauthorized
403  Forbidden
404  Not Found
429  Too Many Requests

5xx - 服务器错误
500  Internal Server Error
502  Bad Gateway
503  Service Unavailable
```

### REST API 漏洞

**对象级别授权漏洞**：
```
GET /api/users/123
→ 返回用户 123 的数据

GET /api/users/124
→ 返回用户 124 的数据

问题：
- 未验证当前用户是否有权访问
- 遍历 ID 可访问所有用户数据

修复：
- 验证用户身份
- 检查资源所有权
- 实施访问控制
```

**用户级别授权漏洞**：
```
POST /api/users/123/update
{
  "role": "admin"
}

问题：
- 普通用户可修改角色
- 权限提升

修复：
- 验证操作权限
- 分离管理员接口
- 审计敏感操作
```

**资源耗尽漏洞**：
```
GET /api/products?limit=1000000

问题：
- 无限制查询
- 数据库负载过高
- 服务不可用

修复：
- 限制最大返回数
- 实施分页
- 速率限制
```

---

## GraphQL 安全

### GraphQL 基础

**什么是 GraphQL**：
```
GraphQL 是 Facebook 开发的查询语言和运行时。

特点：
- 单一端点
- 客户端定义数据结构
- 强类型系统
-  introspection（内省）
```

**GraphQL vs REST**：
```
REST:
GET /users/123
GET /users/123/posts
GET /users/123/followers

GraphQL:
query {
  user(id: 123) {
    name
    posts {
      title
    }
    followers {
      name
    }
  }
}
```

### GraphQL 漏洞

**内省查询风险**：
```graphql
# 内省查询
{
  __schema {
    types {
      name
      fields {
        name
        type {
          name
        }
      }
    }
  }
}

风险：
- 暴露完整 API 结构
- 帮助攻击者了解 API
- 敏感字段暴露

修复：
- 生产环境禁用内省
- 认证后才能内省
```

**深度查询攻击**：
```graphql
# 恶意深度查询
{
  user(id: 1) {
    friends {
      friends {
        friends {
          friends {
            ... 20 层
          }
        }
      }
    }
  }
}

风险：
- 指数级资源消耗
- 数据库查询爆炸
- 服务不可用

修复：
- 限制查询深度
- 限制查询复杂度
- 超时控制
```

**批量查询攻击**：
```graphql
# 批量查询
[
  { "query": "{ user(id: 1) { name } }" },
  { "query": "{ user(id: 2) { name } }" },
  ... 1000 次
]

风险：
- 绕过速率限制
- 资源耗尽
- 数据爬取

修复：
- 限制批量查询数量
- 批量查询也计速率
- 监控异常模式
```

---

## API 认证机制

### API Key

**什么是 API Key**：
```
API Key 是最简单的 API 认证方式。

特点：
- 长期有效
- 无过期时间
- 容易泄露
- 适合服务器间通信
```

**使用方式**：
```
Header:
X-API-Key: your_api_key

Query Parameter:
?api_key=your_api_key

Body:
{
  "api_key": "your_api_key"
}
```

**安全问题**：
```
✗ 长期有效，泄露后持续风险
✗ 无用户上下文
✗ 容易被截获
✗ 无法撤销单个用户

✓ 简单易用
✓ 适合内部服务
✓ 适合只读 API
```

### JWT（JSON Web Token）

**什么是 JWT**：
```
JWT 是基于 JSON 的开放标准（RFC 7519）。

结构：
Header.Payload.Signature

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}

Payload:
{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp": 1516242622
}

Signature:
HMACSHA256(
  base64UrlEncode(header) + "." + base64UrlEncode(payload),
  secret
)
```

**使用方式**：
```
Authorization: Bearer <token>

请求：
GET /api/profile
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
```

**安全问题**：
```
✗ 密钥泄露 → 可伪造任意 Token
✗ 无状态 → 无法主动撤销
✗ 算法混淆 → HS256/RS256 混淆攻击
✗ 敏感信息 → Payload 不应包含敏感数据

✓ 自包含
✓ 可验证
✓ 适合分布式系统
```

**最佳实践**：
```
1. 使用强密钥
   至少 256 位
   定期轮换

2. 设置过期时间
   短期 Token
   使用 Refresh Token

3. 验证算法
   明确指定算法
   防止算法混淆

4. 敏感数据
   不放在 Payload 中
   使用引用 ID
```

### OAuth 2.0

**什么是 OAuth 2.0**：
```
OAuth 2.0 是授权框架，允许第三方应用访问用户资源。

角色：
- Resource Owner（资源所有者）= 用户
- Client（客户端）= 第三方应用
- Resource Server（资源服务器）= API
- Authorization Server（授权服务器）= 认证服务
```

**授权流程**：
```
1. 用户点击"使用 Google 登录"
2. 重定向到 Google 授权页面
3. 用户授权
4. Google 返回授权码
5. 应用用授权码换取 Token
6. 应用使用 Token 访问 API
```

**安全问题**：
```
✗ 重定向 URI 验证不严
✗ 授权码泄露
✗ Token 泄露
✗ 范围过大

✓ 第三方授权
✓ 用户可控
✓ 范围限制
```

---

## API 授权模型

### RBAC（基于角色的访问控制）

**什么是 RBAC**：
```
RBAC（Role-Based Access Control）根据用户角色分配权限。

角色：
- admin（管理员）
- user（普通用户）
- guest（访客）

权限：
- read（读取）
- write（写入）
- delete（删除）
```

**实现方式**：
```python
# 角色定义
roles = {
    'admin': ['read', 'write', 'delete'],
    'user': ['read', 'write'],
    'guest': ['read']
}

# 权限检查
def check_permission(user, action):
    user_role = get_user_role(user)
    return action in roles[user_role]
```

### ABAC（基于属性的访问控制）

**什么是 ABAC**：
```
ABAC（Attribute-Based Access Control）根据属性动态决定权限。

属性：
- 用户属性（部门、职级）
- 资源属性（类型、所有者）
- 环境属性（时间、地点）
- 操作属性（读、写、删除）
```

**实现方式**：
```python
# 策略定义
def can_access(user, resource, action):
    # 用户是资源所有者
    if user.id == resource.owner_id:
        return True
    
    # 工作时间可访问
    if is_work_hours() and user.department == resource.department:
        return True
    
    return False
```

### 最小权限原则

**什么是 最小权限**：
```
用户只应拥有完成工作所需的最小权限。

实施：
- 默认拒绝
- 按需授权
- 定期审查
- 及时回收
```

---

## API 速率限制

### 什么是速率限制

**速率限制目的**：
```
1. 防止滥用
   DDoS 防护
   爬虫限制

2. 资源保护
   数据库保护
   服务稳定性

3. 公平使用
   防止单一用户占用过多资源
   保证所有用户可用
```

### 速率限制算法

**固定窗口**：
```
每 60 秒允许 100 次请求

0-60 秒：100 次
60-120 秒：100 次

问题：
- 窗口边界突发
- 0-59 秒：100 次
- 60-119 秒：100 次
- 实际 2 秒内 200 次
```

**滑动窗口**：
```
过去 60 秒内最多 100 次请求

更平滑
无边界问题
```

**令牌桶**：
```
桶容量：100 个令牌
每秒添加：10 个令牌

每次请求消耗 1 个令牌
桶空时拒绝请求

允许突发
限制平均速率
```

**漏桶**：
```
桶容量：100 个请求
每秒处理：10 个请求

请求进入桶
按固定速率处理
桶满时拒绝

平滑输出
无突发
```

### 速率限制实现

**Nginx 实现**：
```nginx
# 定义区域
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;

# 应用限制
location /api/ {
    limit_req zone=api burst=20 nodelay;
}
```

**Redis 实现**：
```python
import redis
import time

r = redis.Redis()

def rate_limit(user_id, limit=100, window=60):
    key = f"rate_limit:{user_id}"
    current = r.get(key)
    
    if current and int(current) >= limit:
        return False
    
    r.incr(key)
    r.expire(key, window)
    return True
```

---

## API 漏洞类型

### OWASP API Security Top 10

**API1: 对象级别授权失效**：
```
问题：
- 未验证资源所有权
- ID 遍历可访问他人数据

修复：
- 验证用户身份
- 检查资源所有权
- 使用 UUID 替代自增 ID
```

**API2: 用户级别授权失效**：
```
问题：
- 普通用户可执行管理员操作
- 权限检查缺失

修复：
- 实施 RBAC/ABAC
- 验证操作权限
- 审计敏感操作
```

**API3: 过度数据暴露**：
```
问题：
- 返回过多字段
- 敏感信息泄露

修复：
- 按需返回字段
- 数据脱敏
- 白名单过滤
```

**API4: 资源缺乏限制**：
```
问题：
- 无分页限制
- 无查询深度限制
- 资源耗尽

修复：
- 实施分页
- 限制返回数量
- 限制查询复杂度
```

**API5: 批量赋值漏洞**：
```
问题：
- 用户可修改未授权字段
- 角色提升

修复：
- 白名单字段
- 分离输入输出模型
- 验证字段权限
```

**API6: 不当的资源访问**：
```
问题：
- 直接访问文件路径
- 路径遍历

修复：
- 验证文件路径
- 使用文件 ID
- 限制访问范围
```

**API7: 消费限制失效**：
```
问题：
- 无速率限制
- 资源滥用

修复：
- 实施速率限制
- 监控异常模式
- 自动封禁
```

**API8: 注入漏洞**：
```
问题：
- SQL 注入
- 命令注入

修复：
- 参数化查询
- 输入验证
- 输出编码
```

**API9: 不当的资产配置**：
```
问题：
- 调试信息泄露
- 错误信息详细

修复：
- 生产环境禁用调试
- 统一错误响应
- 隐藏敏感信息
```

**API10: 日志和监控不足**：
```
问题：
- 无审计日志
- 无异常告警

修复：
- 记录所有 API 调用
- 监控异常模式
- 实时告警
```

---

## API 安全测试

### 手工测试

**信息收集**：
```
1. 发现 API 端点
   - 文档（Swagger/OpenAPI）
   - 抓包分析
   - 目录扫描

2. 了解认证机制
   - API Key
   - JWT
   - OAuth

3. 了解数据结构
   - 请求格式
   - 响应格式
   - 错误格式
```

**测试用例**：
```
1. 认证测试
   - 无 Token 访问
   - 过期 Token
   - 无效 Token
   - Token 篡改

2. 授权测试
   - 访问他人资源
   - 执行未授权操作
   - 权限提升

3. 输入验证
   - SQL 注入
   - XSS
   - 命令注入

4. 速率限制
   - 高频请求
   - 批量请求
   - 并发请求
```

### 自动化工具

**Postman**：
```
- API 测试
- 集合测试
- 自动化测试
```

**Burp Suite**：
```
- API 扫描
- 手动测试
- 漏洞利用
```

**OWASP ZAP**：
```
- API 扫描
- 开源免费
- 自动化测试
```

**Arjun**：
```
- 参数发现
- HTTP 参数污染
- 隐藏参数发现
```

---

## 防护策略与最佳实践

### 代码层面防护

**输入验证**：
```python
from pydantic import BaseModel, validator

class UserCreate(BaseModel):
    username: str
    email: str
    
    @validator('username')
    def validate_username(cls, v):
        if not re.match(r'^[a-zA-Z0-9_]{3,20}$', v):
            raise ValueError('Invalid username')
        return v
    
    @validator('email')
    def validate_email(cls, v):
        if not re.match(r'^[^@]+@[^@]+\.[^@]+$', v):
            raise ValueError('Invalid email')
        return v
```

**输出过滤**：
```python
# 白名单过滤
def filter_output(user, fields):
    allowed = ['id', 'username', 'email']
    return {k: v for k, v in user.items() if k in allowed and k in fields}
```

**错误处理**：
```python
@app.errorhandler(Exception)
def handle_error(error):
    # 记录详细错误
    logger.error(str(error))
    
    # 返回通用错误
    return jsonify({
        'error': 'An error occurred',
        'code': 500
    }), 500
```

### 配置防护

**HTTPS 强制**：
```
- 所有 API 使用 HTTPS
- HTTP 重定向到 HTTPS
- HSTS 头
```

**CORS 配置**：
```
- 限制允许的源
- 限制允许的方法
- 限制允许的头
```

**安全头**：
```
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
```

### 运行时防护

**WAF 规则**：
```
- API 特定规则
- 速率限制
- 注入防护
```

**监控告警**：
```
- 异常请求模式
- 高频访问
- 错误率突增
```

---

## 总结与思考

### 核心要点回顾

1. **API 安全重要性**
   - 直接数据访问
   - 业务逻辑暴露
   - 滥用风险高

2. **认证授权**
   - JWT/OAuth 2.0
   - RBAC/ABAC
   - 最小权限

3. **防护措施**
   - 输入验证
   - 速率限制
   - 监控告警

### 深入思考问题

1. **为什么 API 漏洞频发**？
   - 开发速度快
   - 安全意识不足
   - 测试不充分

2. **微服务架构下的挑战**？
   - 服务间认证
   - 分布式追踪
   - 统一策略

3. **未来趋势**？
   - API 网关普及
   - 零信任架构
   - AI 辅助检测

### 实战建议

**开发人员**：
1. 实施认证授权
2. 输入验证
3. 速率限制
4. 错误处理

**安全人员**：
1. API 资产梳理
2. 定期测试
3. 监控告警
4. 应急响应

**管理层**：
1. API 安全策略
2. 开发规范
3. 安全培训
4. 合规要求

---

## 参考资料

### 学习资源
- [OWASP API Security](https://owasp.org/www-project-api-security/)
- [API Security Best Practices](https://www.sans.org/)

### 工具资源
- [Postman](https://www.postman.com/)
- [Burp Suite](https://portswigger.net/burp)
- [OWASP ZAP](https://www.zaproxy.org/)

### 书籍推荐
- 《API 安全实战》
- 《Web API 设计与安全》
- 《白帽子讲 Web 安全》

---

**标记 明日预告**：Day 47 - API 认证与授权安全

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 46 篇，Web 安全部分第 16 篇，精编版本*