一般而言,通过API(Application Program Interface)的上下游业务功能集成的商业交易,就被称为“API经济”。
举个例子,当我们在微信上支付话费、叫外卖、购物时,背后实际上就是电信公司、外卖服务平台和电商平台对微信开放了相关的API接口。它的本质是一种无处不在的服务,是以低成本实现数据流通的绝佳方式,也是数据价值最大化的一种输出方式。其最大的特点就是通过运维、开发 、流程和交互的快捷与创新,助力企业业务模式的重塑,推进跨企业、跨行业甚至跨领域的合作。
据IDC预测,到2018年,全球的API经济市场将达到2.2万亿美金。据此,在2018年最新的报告中,IDC还将其作为全球第二的技术趋势。报告显示,在接下来的三年里,亚太地区(不含日本)45% 的组织将会采用核心云API战略,并将其作为DX 架构的一部分,以便实现API驱动型经济。其背后所潜藏的能量之大可见一斑。
事实上, API热潮早年就已经在西方国家风靡,并带来了非常可观的经济效益。Salesforce、Google、Twitter、亚马逊都是其中的受益者。而除却互联网公司之外,金融机构也是其中主要的引领者。
在欧美,包括BBVA、CiTi Bank、Capital Bank等在内的金融机构,都已经通过将自己的银行金融服务以开放API口的方式提供给第三方进行调用,使得银行不必直接面对客户,而是通过合作伙伴为客户提供服务。这样的银行,也被称为“开放银行”。
相较于国外,虽然API经济在国内成形较晚,认知度也有所欠缺,但实际上已经在诸多场景中被应用。以中国银行为例,早在2012年,中国银行就提出了开放平台的概念,并在2013年上线了相关产品,开放了1600多个接口,涉及跨国金融、代收代付、移动支付,以及地图服务、网点查询、汇率牌价等服务。
API其实就是应用程序接口(Application Programming Interface)的简称。API 是一些功能、定义或者协议的集合,提供应用程序或者程序开发人员基于软件访问一组例程的能力,对外封装完善,调用时无需学习 API内部源码,依据 API文档功能说明书来使用即可。
面对API接口的安全问题,可以采取以下几种安全措施:
1.非对称加密
非对称加密是加密算法中的一种,和对称加密算法只有一个密钥文件不同的是,非对称加密有两个密钥文件,也就是公钥与私钥。顾名思义,公钥是对外公开状态,而私钥则是属于保密状态,如果黑客只有公钥而没有私钥,即使截取到报文也没有任何影响。在1978年,RonRivest、Adi Shamir、Leonard Adleman三人共同提出了RSA非对称加密技术,该技术的名字便是取自于这三人的首字母。以现在的情况来看,RSA非对称加密技术属于最有影响力的加密算法,因为该技术能够抵御已知大多数的密码,所以被推荐为加密数据的标准。开放API 平台在应用非对称加密后,公钥公开给那些需要对接 API 的人,这些对接 API的人然后通过公钥将用户的相关数据进行加密和传输。如果想要对其解密,那么就必须要用 API 平台的私钥,这个过程中,即便有黑客利用抓包工具将报文截取、即便是报文相关数据被泄露出去,对方没有私钥来解密,那么就算有报文数据也没有任何意义。因此,为了防止用户的一些敏感信息被泄露,便可以将非对称加密应用其中,能够很好地解决问题。
2.非对称加密流程
如果在有条件的情况下,API接口则是可以使用 HTTPS 协议来将数据进行传输,因为相比于RSA 加密技术,HTTPS 的传输更为安全。HTTPS 解决传输数据安全问题的方式是对双方身份进行确定,从而在两者之间建立其安全通道,而且 HTTPS 协议相比于 RSA非对称加密技术要更为完善,后者所具备的技术,前者都能够实现,并且前者还应用到了对称加密。不过该项技术也有着一定的不足,主要包括需要购买证书、服务器开销大、维护成本高、性能较低等,所以在考虑成本的情况下,HTTPS 不是最优选,而 RSA加密算法是最适宜的选择。
3.信息摘要算法5(MD5)
信息摘要算法5也叫MD5全称为Message-Digest Algorithm5。最大的特点就是其算法不可逆,主要方法是对任意一段字符串生成摘要。所以,信息摘要算法5大多时候是被用来存储用户的登录密码,并且还能够用来比对信息是否一致。信息摘要算法5在目前是不会被真正破解的,所谓的破解方法也只不过是利用非常庞大的一个数据量来对其进行碰撞,简单一点说,就是一个拥有着巨大数据的彩虹表中存了许多与信息摘要算法5字符串相对应的字符串,因此在破解信息摘要算法5时,需要在这个基础数据非常庞大的表里检索加密好的信息摘要算法5字符串,检索的时间是与该表中的数据成正比的,因此检索所需要的时间会非常漫长,就算是通过反推法来破解信息摘要算法5的密码,那也要耗费大量的精力与时间,所以信息摘要算法5算是比较安全的加密算法。
数通畅联的企业服务总线ESB产品的API管理功能可以将各个系统的服务在ESB进行统一的管理,可对API服务进行代理、安全的配置。在API管理模块下API服务接口功能可以注册、导入、配置服务,支持新增、添加接口,为了方便外部查看访问,对外提供查询服务列表、查询服务配置、查询接口配置等等,API安全功能可以对服务接口和流程配置安全报警策略,发送报警信息。同时在平台又预置了以上介绍所有的加密算法可以很好地解决API的安全问题。
数通畅联专注于企业IT架构、SOA应用集成、数据治理分析领域,感谢您的阅读与关注。
我们常在软件开发或合作中遇到“API”这个词,比如API接口、API调用、API接口函数等等,那么到底什么是API呢?
API用通俗的话说,就相当于大家经常看的科幻电影中的空间站或宇宙飞船与其他航天设备对接的那个开口。别人的航天飞机要跟你对接时,你必须告诉你的空间站的对外接口标准规格,比如接口名称、接口尺寸、接口程序等等,才能保证最终两者顺利通过这个接口建立联系,完成彼此内容的交换。
API的标准说法是Application Programming Interface,即应用程序编程接口。
API是一些预先定义函数,目的是用来提供应用程序与开发人员基于某软件或者某硬件得以访问一组例程的能力,并且无需访问源码或无需理解内部工作机制细节。这个也很好理解,一个标准软件,比如今日头条APP,就可以开放API接口给别人,比如字节跳动公司需要随时了解今日头条APP的用户使用状态,他们就可以让今日头条开发一个名字叫“用户状态/User Status”的API接口,然后字节跳动母公司就通过自己统计软件获取这个“User Status”函数的内容,这样今日头条用户总量、新增用户量、用户活跃状态、热点数据就会在字节跳动的统计软件屏幕上显示出来,而该统计软件不需要知道哪个用户具体发布了哪些内容,如果需要,也需要另外做API接口去调用。
所以,API就是操作系统给应用程序的调用接口,应用程序通过调用操作系统的 API而使操作系统去执行应用程序的命令(动作)。在 Windows 中,系统API是以函数调用的方式提供的。
