导语:
API 与身份是当前攻击的主战场,凭证泄露、重放、撞库、成本滥用频发。要把 API 安全做成运营闭环,需要强身份、签名防重放、速率与行为风控、审计可回放。本文给出可执行的落地方案与 SOP。
1. 目标与指标
- 强身份覆盖率:高价值接口 100%(MTLS/OIDC/JWT)。
- 重放防护:签名+时间戳+Nonce 命中率与拒绝率有看板。
- 风控有效性:速率/行为策略命中率、误报率有基线。
- 审计可回放:关键请求链路与策略决策可追溯。
2. 身份与授权分级
- 接口分级:公开/受限/高危(资金、配置、导出)。
- 认证策略:公开接口匿名+限流;受限接口 OAuth2/OIDC;高危接口 MTLS/硬件密钥。
- 授权:Scope/Claims 按动作与资源拆分,高危动作需 Step-up Auth。
3. 签名与重放防护
- 请求:
timestamp + nonce + signature(HMAC/RSA),有效期如 5 分钟。 - 重放缓存:存 nonce/摘要,命中即拒绝。
- 响应回执:关键动作返回签名回执,便于举证。
4. 速率与行为风控
- 多维限流:IP、用户、租户、Token、地理、设备指纹、User-Agent。
- 行为基线:登录/下单/配置修改等关键动作建立速率模型,异常触发验证码/MFA/阻断。
- 成本护栏:对高成本接口设配额与成本预算,防刷爆。
5. 供应链与来源可信
- 网关/插件/依赖做签名校验与来源白名单。
- 下游调用也要求签名或 MTLS,避免“信任链断裂”。
6. 可执行SOP
上线前
- 接口分级与身份/授权策略入库,走 PR 审核。
- 开启签名与重放校验,在灰度环境验证误报。
- 生成对抗用例(撞库、重放、成本滥用)并跑一轮。
上线后
- 看板:401/429、风控命中、重放拒绝、成本超限、误报趋势。
- 事件处置:异常飙升时先核查误报,再收紧策略或启用 Step-up Auth,生成工单与证据包。
- 周复盘:Top 攻击/异常、策略调整、误报处置。
7. Evidence Pack 模板
api/action/risk_level- 认证/授权决策、签名校验结果、nonce/timestamp
- 限流/风控决策、成本检查结果
- 处置动作(MFA/验证码/阻断/告警)与负责人
8. 快速核查清单
- 接口分级与身份/授权策略入库并通过 PR/CI 校验。
- 签名与重放校验在灰度验证误报后开启。
- 风控与配额策略上线,告警通道测试通过。
- 对抗用例(撞库/重放/成本滥用)已跑并记录结果。
9. 运行看板与事件复盘
- 看板:401/429、风控命中、重放拒绝、成本超限、误报趋势。
- 事件复盘:异常飙升时生成证据包(链路、策略决策、处置),并更新风控/签名规则。
- 周演练:固定撞库/重放模拟,验证策略与告警有效性。
结语:
API 安全不只靠单点防护,而是“强身份 + 签名防重放 + 速率/行为风控 + 审计闭环”。把策略版本化、上线门禁和证据包做成默认流程,才能在高频调用与攻击环境中保持可控。
