Day: October 4, 2022

วิธีการใช้ API ได้กลายเป็นส่วนสำคัญของ ความปลอดภัยทางไซเบอร์ซึ่ง การใช้ API ให้ความสามารถ ด้านความปลอดภัยที่คุณไม่มี ซึ่งคุณไม่จำเป็นต้องซื้อ เครื่องมือรักษาความปลอดภัยพิเศษ หรือมีความเชี่ยวชาญ ด้านความปลอดภัย  ในบทความนี้เราจะพูดถึงวิธีที่คุณสามารถใช้ API เพื่อปรับปรุงความปลอดภัย ซึ่งเป็นส่วนหนึ่งของกระบวนการพัฒนาและกระบวนการ DevOps ปกติของคุณ การใช้ API ให้ปลอดภัย แม้ว่าการใช้ API สามารถแสดงความเสี่ยง ด้านความปลอดภัยหากไม่ได้ใช้อย่างถูกต้อง แต่คุณสามารถใช้เครื่องมือเหล่านี้เพื่อปรับปรุงความปลอดภัยโดยรวมของคุณ การใช้API สามารถให้บริการที่หลากหลายอย่างเหลือเชื่อซึ่งคุณ อาจมีปัญหาในการเข้าถึงเป็นอย่างอื่น การใช้งานบางอย่างเพื่อ พิจารณาการนำไปปฏิบัติมีดังนี้ 1. การปกป้องเว็บแอพพลิเคชั่น บริการ API สามารถช่วยให้คุณตรวจจับมัลแวร์และการแทรก รหัสในเว็บแอพพลิเคชันของคุณ บริการเหล่านี้สามารถเตือนคุณถึงความพยายาม รวมถึงการติดเชื้อที่ทำให้คุณสามารถตอบสนองได้อย่าง รวดเร็ว เพื่อให้มีปัญหา  API เหล่านี้อาจช่วยคุณติดตามแหล่งที่มาของการรับส่งข้อมูลและช่วยให้คุณสามารถป้องกันการโจมตีในอนาคตจากแหล่งเดียวกันทั้งนี้ขึ้นอยู่กับบริการ 2. การยืนยันความน่าเชื่อถือของไซต์ API สามารถช่วยให้คุณสามารถสืบค้นฐานข้อมูลของไซต์ที่เป็นอันตรายที่รู้จักเพื่อตรวจสอบหรือปฏิเสธความปลอดภัยของไซต์ที่ระบุ สิ่งนี้ช่วยให้คุณสามารถหลีกเลี่ยงหรือบล็อกหน้า โดเมน หรือเครือข่ายที่มีความเสี่ยง ข้อมูลนี้สามารถใช้เพื่อแจ้งเตือนผู้ใช้ว่าพวกเขาอาจเข้าถึงทรัพยากรที่เป็นอันตราย 3. การเข้าถึงหน่วยสืบราชการลับภัยคุกคาม ฐานข้อมูลช่องโหว่จำนวนมากและแหล่งที่มาของภัยคุกคามมี API ที่คุณสามารถใช้เพื่อรวมข้อมูลเข้ากับเครื่องมือที่มีอยู่ของคุณ […]

ในปัจจุบันนี้การ ออกแบบ API หลังบ้าน ( backend ) เพื่อให้ระบบหน้าบ้าน เว็บส่วน frontend หรือแอปพลิเคชันมือถือ หรือระบบอื่น ๆ มาใช้งาน ปกติแล้วเราก็จะเริ่มจากออกแบบ จากความต้องการจะนำข้อมูลเข้า-ออกจากระบบของเรา แต่สิ่งนึงที่มักจะถูกมองข้ามคือเรื่องของความปลอดภัย และ ส่วนนี้เป็นส่วนหนึ่งที่อยากนำเสนอคือการมีเว็บ API ที่ปลอดภัย ควรจะเป็นยังไง ในบนความนี้จะแนะนำเทคนิคแบบเข้าใจง่าย ๆพร้อมแนวทางแก้ไขที่ทุกท่านสามารถนำไปประยุกต์ใช้ในการพัฒนาระบบให้ปลอดภัยได้ครับ 1. การเก็บข้อมูลที่อัปโหลดจากผู้ใช้งานที่ปลอดภัย ถ้าระบบเรายอมให้ผู้ใช้งานอัปโหลดรูปหรือเอกสาร ภายใต้เงื่อนไขข้อมูลเก็บบน cloud ได้มีงบและระบบสเกลขนาดกลางขึ้นไป ควรแยกไปไว้ระบบเก็บไฟล์ static โดยเฉพาะอย่างผู้ให้บริการ CDN เช่น AWS S3 ไม่ควรเก็บในระบบเดียวกันกับแอปพลิเคชัน เพราะมีความเสี่ยงหลายอย่างเช่น harddisk เต็มแล้วระบบจะล่มทั้งหมด หรือไฟล์ที่อัปโหลดเข้ามามีโค้ดอันตรายต่อแอปพลิเคชันของเรา มันจะดีกว่ามากถ้าเราแบ่งความเสี่ยงตรงนี้ไป ที่ระบบเก็บฝากโดยเฉพาะเลย แต่ไม่ว่าเราจะเลือกทางนี้หรือไม่ แน่นอนว่าต้องตรวจสอบให้ละเอียดคือผู้ใช้งาน อัปโหลดไฟล์ที่เราต้องการเข้ามาจริง ๆ เช่นเช็คนามสกุลไฟล์ว่าเป็น .png .jpg .gif รึเปล่า มีเนื้อหาถูกต้องตามไฟล์ที่เราอยากได้มี magic numbersขึ้นต้นไฟล์ถูกต้อง ขนาดไม่ใหญ่เกิน […]

เอกสาร AsyncAPI โดยพื้นฐานแล้ว Web API มีสองประเภท: ซิงโครนัสและอะซิงโครนัส API แบบซิงโครนัสจะส่งคืนข้อมูลในทันที ให้วิธีการดึงข้อมูลแบบทันทีหรือตามกำหนดการ เมื่อใดก็ตามที่คุณเรียกใช้ API แบบซิงโครนัส API นั้นจะถูกบล็อกจนกว่าเซิร์ฟเวอร์จะตอบกลับ แอปพลิเคชันที่ร้องขอข้อมูลจะรอให้ API สร้างการตอบสนอง ขณะอยู่ใน API แบบอะซิงโครนัส ฟังก์ชันเรียกกลับจะทำงานเมื่อมีการตอบกลับจาก API การเรียก API ไม่ได้บล็อกแอปพลิเคชัน และแอปพลิเคชันไม่รอให้ API ตอบกลับ ดังนั้นจึงยังคงดำเนินการฟังก์ชันอื่นๆ API เหล่านี้มีประโยชน์สำหรับแอปพลิเคชันที่ต้องโหลดส่วนประกอบอื่นๆ ที่ไม่ขึ้นอยู่กับ API AsyncAPI คืออะไร? AsyncAPIเป็นคำจำกัดความ API ที่ได้รับการสนับสนุนจากโครงการโอเพ่นซอร์สเพื่อกำหนด API แบบอะซิงโครนัสที่ขับเคลื่อนด้วยเหตุการณ์ เนื่องจากOpenAPIกำหนดรายละเอียดของ REST API AsyncAPI จะกำหนดความซับซ้อนของ API แบบอะซิงโครนัส ข้อกำหนด AsyncAPI ได้รับแรงบันดาลใจจากข้อกำหนดของ OpenAPI (เดิมเรียกว่า Swagger) และอธิบายและจัดทำเอกสาร API แบบอะซิงโครนัสที่ขับเคลื่อนด้วยเหตุการณ์ในรูปแบบที่เครื่องอ่านได้ ตัวอย่างเช่น เมื่อคุณใช้ WebSockets หรือเมื่อบริการที่แตกต่างกันสองรายการคุยกันผ่านตัวรับส่งข้อความ คุณจะไม่สามารถใช้ API […]

APICheck มีประโยชน์ เราตรวจสอบ APIcheck ซึ่งเป็นเครื่องมือโอเพนซอร์สโดย OWASP ที่ช่วยสแกน API เพื่อหาช่องโหว่ที่สำคัญ ความสามารถในการเรียกใช้การตรวจสอบบน API เป็นสิ่งสำคัญ การให้ฟังก์ชันและความปลอดภัยที่เพียงพอจำเป็นต้องทำการทดสอบ API และตรวจสอบว่าตรงกับข้อกำหนดหรือไม่ ประสบการณ์ผู้ใช้ที่ยอดเยี่ยมขึ้นอยู่กับ ประสบการณ์ของนักพัฒนาที่คาดการณ์ได้และสม่ำเสมอซึ่งทำได้ผ่านการสร้างมาตรฐานของฐานรหัสพื้นฐานเท่านั้น ในทุกระดับ การมีชุดเครื่องมือเพื่อให้แน่ใจว่ามีความสม่ำเสมอเป็นสิ่งสำคัญ ป้อน APICheck ซึ่งเป็นเครื่องมือที่เพิ่งเปิดโดย OWASP ในพื้นที่ของเรา OWASP เป็นที่รู้จักมากที่สุดจากการอภิปรายเกี่ยวกับช่องโหว่ของ APIและด้วยเหตุนี้ OWASP จึงเป็นตัวเลือกหลักสำหรับการสร้างผลิตภัณฑ์เพื่อสแกนหาช่องโหว่เหล่านั้น ด้านล่างนี้ เราจะมาดูคำตอบของคำถามเกี่ยวกับความสอดคล้อง APICheck และให้ความประทับใจทั่วไปในการใช้งาน APICheck คืออะไร?   APICheck — “ชุดเครื่องมือ DevSecOps สำหรับ HTTP API” เป็นสภาพแวดล้อมที่สร้างขึ้นเพื่อ “สร้างห่วงโซ่การดำเนินการ” เพื่อวัตถุประสงค์ในการทดสอบ ในบริบทของ API แนวคิดของห่วงโซ่การดำเนินการมักจะถูกมองข้ามไป แต่ก็มีประโยชน์บางประการในการพูดคุยกันว่าทำไมห่วงโซ่การดำเนินการจึงมีความสำคัญ การเรียก API มีจุดเริ่มต้นและจุดสิ้นสุดที่กำหนดไว้ — เป็นกระบวนการสร้างคำขอ แปลงข้อมูลผลลัพธ์ และจากนั้นรับผลลัพธ์ที่สร้างห่วงโซ่การดำเนินการ อย่างไรก็ตาม โซ่ตรวนเหล่านี้ไม่ได้เกิดขึ้นอย่างโดดเดี่ยว บ่อยครั้ง ข้อผิดพลาดในสายการดำเนินการเฉพาะสะท้อนถึงข้อผิดพลาดภายใน API เอง (หรืออย่างน้อยที่สุด ก็แนะนำข้อผิดพลาดที่เป็นระบบต่อ […]

สำหรับบริษัท API เมื่อพูดถึงความสามารถในการสังเกตและวิเคราะห์ API เมตริกของคุณถือได้ว่าเป็นรูปสามเหลี่ยม: เมตริก โครงสร้างพื้นฐานเพื่อความเสถียร เมตริก แอปพลิเคชันสำหรับการแก้ปัญหาการดำเนินธุรกิจ และ เมตริก ผลิตภัณฑ์ สำหรับการจัดการปัญหาทางธุรกิจแบบคลาสสิก เมตริกยังขึ้นอยู่กับตำแหน่งที่คุณอยู่ในวงจรชีวิตผลิตภัณฑ์อีกด้วย API ที่เพิ่งเปิดตัวจะเน้นไปที่การปรับปรุงการออกแบบและการใช้งานมากขึ้น ในขณะที่ลดความน่าเชื่อถือและความเข้ากันได้แบบย้อนหลัง ในขณะที่ทีมที่สนับสนุน API ขององค์กรที่ได้รับการปรับใช้อย่างดีอาจมีสมาธิมากขึ้นในการขับเคลื่อนการนำคุณลักษณะเพิ่มเติมมาใช้ต่อบัญชี และให้ความสำคัญกับความน่าเชื่อถือและความเข้ากันได้แบบย้อนหลังมากกว่าการออกแบบ ใครสนใจเกี่ยวกับเมตริก API? โดยทั่วไปมีบางทีมที่ใส่ใจเกี่ยวกับเมตริก API: การจัดการผลิตภัณฑ์ : ผู้จัดการผลิตภัณฑ์ API รับผิดชอบเกี่ยวกับฟีเจอร์โรดแมป API เพื่อให้แน่ใจว่ามีการสร้างปลายทาง API ที่ถูกต้อง พวกเขายังต้องสร้างสมดุลระหว่างความต้องการของลูกค้า (ไม่ว่าจะภายในหรือภายนอก) กับเวลาด้านวิศวกรรมและข้อจำกัดส่วนบุคคล ธุรกิจ/การเติบโต : ทีมงานที่ต้องเผชิญกับธุรกิจ เช่น การตลาดและการขาย ไม่ได้คิดในแง่ของปลายทาง API แต่พวกเขาส่วนใหญ่สนใจในการปรับใช้ของลูกค้าและสร้างความมั่นใจว่าลูกค้าจะใช้ API ได้สำเร็จ พวกเขายังยินดีที่รู้ว่าผู้ใช้มาจากไหนและคนใดที่อาจเป็นโอกาสในการขายใหม่ วิศวกรรมแอปพลิเคชัน/แพลตฟอร์ม : นักพัฒนา API มีหน้าที่ในการเพิ่มคุณสมบัติใหม่ให้กับ API ในขณะที่แก้ไขข้อบกพร่องของปัญหาเฉพาะแอปพลิเคชันในตรรกะทางธุรกิจของ API ผลิตภัณฑ์เหล่านี้อาจเป็น API-as-a-Service, ปลั๊กอิน, การผสานรวมสำหรับพันธมิตร, API ที่รวมอยู่ในผลิตภัณฑ์ขนาดใหญ่ หรือประเภทอื่นๆ โครงสร้างพื้นฐาน/DevOps : ทีมโครงสร้างพื้นฐานและ DevOps ใช้เมตริกเพื่อให้แน่ใจว่าเซิร์ฟเวอร์กำลังทำงานและจัดสรรทรัพยากรอย่างจำกัดอย่างถูกต้อง ข้อมูลนี้อาจเป็นประโยชน์สำหรับทีมวิศวกรหลายทีม […]

อุตสาหกรรม API เศรษฐกิจโลกเผชิญกับการเปลี่ยนแปลงและความท้าทายมากมายในปีที่ผ่านมาเพียงปีเดียว การระบาดใหญ่ของโคโรนาไวรัสเปลี่ยนวิธีที่เราทำงานและใช้เทคโนโลยี ซึ่งหมายถึงเรื่องใหญ่สำหรับอุตสาหกรรม API แต่การเปลี่ยนแปลงครั้งใหญ่ไม่ได้เป็นเพียงความท้าทายเดียวที่ผู้ใช้และผู้ผลิต API เผชิญอยู่ ด้วยการต่อสู้ในศาลอย่างต่อเนื่องระหว่างGoogle และ Oracleเกี่ยวกับองค์ประกอบการทำงานของระบบ API การระเบิดของอาชญากรรมทางอินเทอร์เน็ต และความต้องการที่เปลี่ยนแปลงไปทั่วทั้งเศรษฐกิจอุตสาหกรรมนี้มีหลายสิ่งที่ต้องแก้ไขในปี 2021 และปีต่อๆ ไป เราสำรวจความท้าทายเหล่านี้และอื่น ๆ อีกมากมายเพื่อให้คุณเห็นภาพที่ดีขึ้นเกี่ยวกับสิ่งที่คุณเผชิญในปีหน้า นี่คือสิ่งที่คุณควรรู้ 1. สนับสนุน Gig Economy โดยส่วนใหญ่ เศรษฐกิจแบบกิ๊กนั้นได้รับแรงหนุนจากความสะดวกของ API อยู่แล้ว แพลตฟอร์มอย่าง Freelancer และ Upwork เป็นตลาดแบบสองด้านสำหรับพนักงานอิสระและธุรกิจต่างๆ เพื่อเชื่อมโยงกันเพื่อผลประโยชน์ร่วมกัน จากการระบาดของโคโรนาไวรัส ผู้คนหลายล้านถูกปลดออกจากงานก่อนหน้านี้ การติดอยู่ที่บ้าน การจัดการเด็ก และการปรับตัวเข้ากับเศรษฐกิจใหม่ ทำให้คนงานเหล่านี้จำนวนมากต้องแสวงหาตำแหน่งในเศรษฐกิจแบบกิ๊ก API มีบทบาทสำคัญในการจัดการข้อมูลที่จำเป็นในการเชื่อมโยงคนงานอิสระกับนายจ้างที่คาดหวัง การจัดการการเข้าถึงระยะไกล ความสามารถในการทำงานร่วมกัน และการกู้คืนความเสียหายที่จำเป็นสำหรับระบบเศรษฐกิจแบบ gig จะเป็นไปไม่ได้หากไม่มีที่เก็บข้อมูลบนคลาวด์และ API ที่สื่อสารระหว่างระบบ เศรษฐกิจต้องการคนงานกิ๊ก และอุตสาหกรรม API ต้องเผชิญกับงานในการสร้างการเชื่อมต่อทั่วโลกเหล่านี้ สิ่งนี้จะต้องใช้ระบบ API ที่มีประสิทธิภาพและปรับขนาดได้ซึ่งมีพลังที่ไม่เคยมีมาก่อนในการเชื่อมต่อผู้ใช้สองคน ไม่เพียงแต่ถึงกันเท่านั้น แต่ยังรวมถึง API และระบบข้อมูลอื่นๆ เศรษฐกิจแบบกิ๊กต้องการข้อมูลเชิงลึกเกี่ยวกับความต้องการของบริษัท พอร์ตโฟลิโอฟรีแลนซ์ แนวคิดโครงการ […]

เปิดธนาคาร API ธนาคารแบบเปิดกำลังกลายเป็นปรากฏการณ์ระดับโลกอย่างรวดเร็ว ด้วยกฎหมายของ PSD2 ของสหภาพยุโรป บริษัทต่างๆ ในยุโรปและภูมิภาคอื่นๆ ได้เริ่มยอมรับแนวทางปฏิบัติเกี่ยวกับธนาคารแบบเปิดไม่ว่าจะได้รับแรงหนุนจากกฎระเบียบของรัฐบาลหรือแรงกดดันของตลาด ธนาคารต่างๆ กำลังเปิด API สำหรับ FinTechs เพื่อผสานรวมกับข้อมูลลูกค้า ทำให้เกิดเศรษฐกิจรูปแบบใหม่ทั้งหมดของบริการทางการเงินที่ปรับเปลี่ยนได้ ซึ่งช่วยปรับปรุงประสบการณ์ของลูกค้าปลายทาง อย่างไรก็ตาม ข้อมูลธนาคารเป็นจุดสัมผัสที่ละเอียดอ่อน การเปิดโครงสร้างพื้นฐานของธนาคารทำให้เกิดความเสี่ยงอย่างมาก และจำเป็นต้องมีมาตรการรักษาความปลอดภัยที่ได้รับการปรับปรุงเพื่อให้เป็นไปตามข้อกำหนดและข้อบังคับด้านข้อมูล แล้วเราจะรักษาความปลอดภัยให้กับธนาคารแบบเปิดได้อย่างไร? ด้านล่างนี้ เราจะหารือเกี่ยวกับวิธีการเปิดธนาคารโดยไม่ทำให้พวกเขาเสี่ยง เราจะแนะนำว่าธนาคารเปิดคืออะไรและครอบคลุมมาตรฐานความปลอดภัยระดับธนาคารที่ล้ำสมัยเพื่อให้แน่ใจว่า API การธนาคารและความเป็นส่วนตัวของข้อมูลเป็นไปตามกฎระเบียบและการปฏิบัติตามข้อกำหนดล่าสุดเมื่อเร็วๆ นี้เราได้นำ Chris Wood ผู้เชี่ยวชาญด้านการธนาคารแบบเปิดและผู้เชี่ยวชาญ API เข้ามาสำหรับการ รักษาความปลอดภัย Open Banking LiveCast ของเรา ดูการบันทึกแบบเต็มด้านล่าง: Open Banking Security คืออะไร? เป็นเวลากว่าสิบปีแล้วที่โครงการ Open Bank เสนอรูปแบบการธนาคารแบบเปิด และเป็นเวลากว่าห้าปีแล้วที่กฎหมาย PSD2 ถูกนำมาใช้ในสหภาพยุโรป ความคิดริเริ่มเหล่านี้เสนอให้ธนาคารใช้อินเทอร์เฟซแบบเปิดสำหรับผู้ให้บริการบุคคลที่สาม (TPP) เพื่อรวมเข้าด้วยกัน API การธนาคารเหล่านี้ช่วยให้ TPP ที่มีการควบคุมอย่างเข้มงวดในการเข้าถึงบัญชีของลูกค้า เรียกข้อมูล เริ่มการชำระเงิน และดำเนินการอื่นๆ เพื่อปรับปรุงประสบการณ์ของลูกค้าที่เกี่ยวข้องกับการเงินแบบเปิด ทว่าการขัดขวางเส้นทางการธนาคารออนไลน์ด้วยการแนะนำบุคคลที่สามเข้ามารวมกันทำให้เกิดความเสี่ยงโดยธรรมชาติ ไม่ต้องพูดถึงภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นและการละเมิดที่เกี่ยวข้องกับข้อมูลดิจิทัลที่ละเอียดอ่อน ดังนั้น มาตรฐานความปลอดภัยธนาคารแบบเปิดจึงเกิดขึ้นเพื่อปกป้องข้อมูลส่วนบุคคลที่ระบุตัวบุคคลได้ (PII) […]

จุดดีของ RapidAPI ปฏิเสธไม่ได้ว่า API ได้รับความนิยมอย่างมากในปีที่ผ่านมา Microservices เป็นแกนหลักของโลกดิจิทัลของเรา และ API เชื่อมต่อผู้ใช้ ตั้งแต่ร้านกาแฟไปจนถึงสำนักงาน (ที่บ้าน) ไปจนถึงฟังก์ชันที่จำเป็น อย่างไรก็ตามมีความแตกต่างกันมากขึ้นในเรื่องนั้น RapidAPI ได้พยายามค้นหาแนวโน้มที่ลึกซึ้งยิ่งขึ้นในขอบเขตการเขียนโปรแกรมเป็นประจำทุกปี อะไรทำให้เกิด uptick ล่าสุดนี้ และลำดับความสำคัญทางธุรกิจเปลี่ยนไปอย่างไรใน lockstep? รายงานการสำรวจนักพัฒนาปี 2020–2021จึงมีข้อมูลพื้นฐานที่สำคัญบางประการแก่เรา เข้าไปข้างในและให้บริบทเพิ่มเติมว่าทำไมการเปลี่ยนแปลงเหล่านี้จึงเกิดขึ้น ระเบียบวิธีและข้อมูลประชากร แม้ว่าจำนวนผู้เข้าร่วมทั้งหมดจะไม่ถูกเปิดเผยในครั้งนี้ แต่ Developer Survey ก่อนหน้านี้ก็รวบรวมคำตอบได้มากกว่า 2,000 รายการ เราอาจคาดหวังการมีส่วนร่วมที่คล้ายคลึงกันที่นี่ เนื่องจาก RapidAPI เกือบจะคัดลอกขั้นตอนของปีที่แล้วในขณะที่เปิดการสำรวจไว้เป็นเวลาหนึ่งเดือน ต่อไปนี้เป็นข้อเท็จจริงบางประการ: กว่า 40% ของผู้ตอบแบบสำรวจระบุว่าเป็นนักพัฒนามืออาชีพ (เทียบกับมากกว่า 50% ในปีที่แล้ว ) ผู้ตอบแบบสอบถามได้รับการยกย่องจากกลุ่มที่มีความหลากหลายมากกว่า 120 ประเทศ ในขณะที่ผู้เข้าร่วมเกือบ 10% เป็นผู้บริหาร แต่คราวนี้มีผู้จัดการด้านวิศวกรรมน้อยลง (8% เทียบกับ 14% ในปีที่แล้ว) จริง ๆ แล้วประสบการณ์การเข้ารหัสยังคงไม่เปลี่ยนแปลงโดยประมาณ ครึ่งหนึ่งของผู้ตอบแบบสอบถามอ้างว่ามีประสบการณ์ต่ำกว่า 5 ปี ในขณะที่อีกครึ่งหนึ่งอ้างว่ามีประสบการณ์มากกว่า […]

Hypermedia API User Authentication — กระบวนการในการตอบคำถามว่าใครเป็นใคร — มีการพัฒนาอย่างมากในช่วงไม่กี่ปีที่ผ่านมา ตั้งแต่เริ่มต้นความปลอดภัยของคอมพิวเตอร์จนกระทั่งเมื่อไม่นานมานี้ การตรวจสอบสิทธิ์ผู้ใช้ได้รับการปกป้องด้วยรหัสผ่านเป็นหลัก สิ่งนี้เกี่ยวข้องกับการขอชื่อผู้ใช้และตรวจสอบว่าผู้ใช้ที่อยู่เบื้องหลังชื่อนั้นทราบรหัสผ่านที่เชื่อมโยงกับชื่อนั้น เมื่อพลังการประมวลผลเพิ่มขึ้น และการโจมตีมีความซับซ้อนมากขึ้น เห็นได้ชัดว่ารหัสผ่านไม่เพียงพอ ขณะนี้การรับรองความถูกต้องเกี่ยวข้องกับวิธีการต่างๆ ที่เรียกว่า Multi-Factor Authentication ขึ้นอยู่กับภูมิภาค อุตสาหกรรม และกรณีการใช้งาน ปัจจัยเหล่านี้มักจะแตกต่างกัน เรายังอาศัยบุคคลอื่นในการพิจารณาว่าใครคือผู้ใช้ การเข้าสู่ระบบโซเชียลเป็นตัวอย่างที่ดี ซึ่งหมายความว่าสิ่งที่เคยเป็นแบบสอบถามง่ายๆ ในการตรวจสอบความถูกต้องของข้อมูลในฟอร์ม ในขณะนี้คือการเดินทางของผู้ใช้ที่ยาวนาน อาจเกี่ยวข้องกับการเยี่ยมชมเว็บไซต์อื่นๆ (Facebook หรือ Google) การเปิดแอปอื่นๆ (Duo, BankID) และการคลิกรูปภาพทั้งหมดที่แสดงสัญญาณไฟจราจร (ไม่มีความคิดเห็น) บริการรับรองความถูกต้องเป็นเว็บไซต์ที่ซับซ้อนซึ่งแนะนำผู้ใช้ตลอดขั้นตอนเหล่านี้ ที่ Curity เราถูกถามคำถามนี้หลายครั้ง: ทำไมเราจึงไม่ได้รับ API เพื่อตรวจสอบผู้ใช้ของเรา เหตุผลเบื้องหลังคำถามนั้นง่ายมาก: ลูกค้าของเราไม่ต้องการส่งผู้ใช้ไปยังเว็บไซต์รับรองความถูกต้องจากแอพ แต่เก็บไว้ในแอพ อย่างไรก็ตาม คำตอบนั้นไม่ง่ายนัก การตรวจสอบสิทธิ์ผู้ใช้นั้นถือเป็นเรื่องปกติ: ผู้ใช้จะปฏิบัติตามขั้นตอนที่กำหนดไว้ล่วงหน้าเพื่อระบุตัวตนให้สมบูรณ์ เบราว์เซอร์จะทำให้แน่ใจว่าเป็นกรณีนี้ ไม่มีบุคคลอื่นใดสามารถสกัดกั้นข้อความและใช้ประโยชน์จากผลลัพธ์สุดท้ายได้ ความคาดหวังเหล่านี้ทำให้ API ค่อนข้างแตกต่างออกไป ประการแรก เนื่องจากการรับรองความถูกต้องคือการเดินทาง ไคลเอ็นต์ API จึงต้องปฏิบัติตามโปรโตคอลเมื่อสื่อสารกับ API ต้องมีจุดเริ่มต้นและจุดสิ้นสุดที่แน่นอน สิ่งนี้ตรงกันข้ามอย่างสิ้นเชิงกับวิธีการเช่น GraphQL และ REST ระดับล่าง (ตามที่กำหนดโดยRichardson Maturity Model ) ทั้งสองได้รับการออกแบบมาเพื่อให้ผู้โทรเข้าสู่ทรัพยากรในแบบที่ผู้โทรต้องการ ตัวแทนไฮเปอร์มีเดีย […]

การใช้ Open Banking API การตอบสนองความต้องการของลูกค้าได้กลายเป็นงานที่น่ากังวลในศตวรรษที่ 21 โดยเฉพาะอย่างยิ่งในภาคการธนาคาร ด้วยเหตุนี้ สถาบันการเงินหลายแห่งจึงคิดทบทวนวิธีการดำเนินธุรกิจและนำเสนอประสบการณ์ลูกค้าที่หลากหลาย เพื่อตอบสนองความคาดหวังของผู้บริโภคในยุคดิจิทัล พูดตามตรงคือ ลูกค้ามักใช้ประโยชน์จากสิ่งอำนวยความสะดวกมากมายของสถาบันการเงินหลายแห่ง ระบบธนาคารแบบดั้งเดิมตระหนักดีว่าเพื่อให้สอดคล้องกับแนวโน้มอย่างต่อเนื่อง พวกเขาควรเลือกใช้ความคิดริเริ่มด้านการธนาคารดิจิทัล ดังนั้นด้วยการมาถึงของแอพมือถือ ระบบธนาคารจึงมีการพัฒนาอย่างต่อเนื่อง ได้นำจุดหยุดดิจิทัลหนึ่งแห่งเพื่อให้บริการทั้งหมด การให้บริการแบบเรียลไทม์ การบริการที่ราบรื่น และการเข้าถึงทุกอย่างในที่เดียว ทำให้บริการธนาคารแบบเรียลไทม์เป็นที่ชื่นชอบของผู้ใช้ แต่เพื่อให้บริการอย่างมีประสิทธิภาพแก่ลูกค้า คุณต้องส่งมอบความคาดหวังของลูกค้าอย่างถูกวิธี การไม่ทำเช่นนั้นจะทำให้เกิดการแข่งขัน และมีโอกาสที่ผู้ใช้ของคุณจะเลือกผู้ให้บริการที่เกี่ยวข้องรายอื่น โซลูชันที่โดดเด่นที่นำหน้าคู่แข่งคือการนำ API การธนาคารแบบเปิดมาใช้ และช่วยให้ผู้ใช้ของคุณสามารถโต้ตอบกับผู้ให้บริการรายอื่นได้อย่างราบรื่น ด้วยโอกาสทางการเงินที่ไม่มีที่สิ้นสุด ลูกค้าของคุณจะสามารถดูแลชีวิตทางการเงินของพวกเขาได้อย่างง่ายดาย พวกเขาจะจัดการผู้ให้บริการหลายรายผ่านบัญชีธนาคารเดียว ดังนั้น Open Banking และ Open Banking API คืออะไร? การธนาคารแบบเปิดถือเป็นหนึ่งในแนวทางปฏิบัติที่ได้รับการยอมรับมากที่สุดในหมู่ผู้ให้บริการทางการเงิน หมายถึงการรวมเทคโนโลยีใหม่เพื่อสร้างสายการสื่อสารที่ราบรื่นระหว่างสถาบันการเงินและผู้ให้บริการบุคคลที่สาม Open Banking Application Programming Interfaces (APIs) เป็นที่นิยมในหมู่เจ้าของธนาคาร Open Banking API มอบความโปร่งใสทางการเงินขั้นสูงสุดสำหรับผู้บริโภค สถาบันการเงิน และผู้ให้บริการบุคคลที่สาม โอกาสทางธนาคารแบบเปิดช่วยลดช่องว่างและมอบวิธีจัดการธุรกรรมที่สะดวกสบายและปลอดภัย API การธนาคารแบบเปิดยังเป็นประโยชน์ต่อลูกค้าอย่างมาก พวกเขาเปิดใช้งานประสบการณ์การธนาคารที่ปราศจากความเครียดซึ่งผู้บริโภคสามารถใช้ประโยชน์จากบริการมากมาย ส่งผลให้การมีส่วนร่วมของลูกค้าเพิ่มขึ้นด้วย API ในภาคการเงินสามารถนำเสนอโซลูชันที่ใช้งานได้ยาวนาน ปลอดภัย และสะดวกสบาย 4 ประโยชน์ของการบูรณาการ/การนำ Open Banking APIs มาใช้ […]

OpenAPI 3.1.0 ได้รับการอัปเดตที่เข้ากันได้กับ JSON Schema, การสนับสนุนเว็บฮุค และการแก้ไขด้านความสวยงาม เพียงหนึ่งปีหลังจาก OAS 3.0.3 เปิดตัว — และห้าเดือนหลังจาก OAS 3.1.0 RC1’s — OAS 3.1.0 ได้เข้าสู่คลื่นวิทยุในที่สุด นี่คือการแก้ไขครั้งใหญ่ล่าสุดของ OpenAPI Initiative สำหรับสาขา OAS 3.0 อย่างไรก็ตามเรื่องนี้ นักพัฒนาข้อกำหนดต้องการให้การอัปเกรดรู้สึกเพิ่มขึ้นสำหรับผู้ใช้ใหม่ ผู้ใช้ในองค์กรที่พึ่งพา OAS ควรรู้สึกสบายใจกับการปรับใช้อย่างรวดเร็ว แม้ว่าแบบแผนการตั้งชื่อเชิงความหมายจะบังคับให้ต้องข้ามไปยัง OAS 4.0 แต่การก้าวกระโดดจะไม่สนับสนุนการยอมรับการเปลี่ยนแปลงที่สำคัญอย่างรวดเร็ว ในขณะที่กลุ่มบริษัทมีการพัฒนาที่ก้าวหน้าอยู่เสมอ การเผยแพร่มักจะห่างกันเป็นเดือนหรือหลายปี ผู้ใช้ควรคุ้นเคยกับงานสร้างล่าสุดนี้ โชคดีที่มีสินค้าที่อัปเดตมากมายสำหรับนักพัฒนาที่จะแกะกล่อง มีอะไรเปลี่ยนแปลงอย่างแน่นอน? ความเข้ากันได้ของ JSON Schema ที่สมบูรณ์ การเปลี่ยนแปลงภายใต้พาดหัวร่ม JSON Schema รุ่นใหม่ OAS นี้ JSON เป็นรูปแบบเริ่มต้นสำหรับเอกสาร OpenAPI (นอกเหนือจาก YAML) และมีความสำคัญอย่างมากสำหรับนักพัฒนาทั่วโลก น่าเสียดายที่ข้อบกพร่องในการสนับสนุนและการกำหนดมาตรฐานที่ไม่แน่นอนได้ขัดขวางประโยชน์ของ JSON Schema และโครงสร้างข้อมูลที่คล้ายกัน ส่วนขยายสคีมาเป็นผลผลิตจากวิธีการต่างๆ มากมาย OAS 3.1.0 แก้ปัญหาเหล่านี้ได้ 100% ด้วยความเข้ากันได้ 100% […]

API โอเพ่นซอร์ส ความปลอดภัยเป็นปัญหาหลักสำหรับ API ต่อไปนี้คือเครื่องมือโอเพนซอร์ซเจ็ดตัวที่ช่วยปกป้องพวกเขา ได้กลายเป็นวิธีทั่วไปในการเปิดใช้งานการสื่อสารระหว่างแอปพลิเคชันและผู้ใช้ ตั้งแต่รถของคุณบอกคุณว่าปั๊มน้ำมันที่ใกล้ที่สุดอยู่ที่ใด สมาร์ทโฟนของคุณดึงข้อมูลสภาพอากาศ แต่เมื่อองค์กรต่างๆ แชร์ API มากขึ้นเรื่อยๆ โอกาสสำหรับผู้ไม่หวังดีที่จะใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยก็เพิ่มขึ้น กำลังกลายเป็นเป้าหมายที่ง่ายต่อการใช้ประโยชน์ ทำให้มีช่องโหว่มากมายให้เสียบและการโจมตีที่ทวีความรุนแรงขึ้นอาจส่งผลให้เกิดการละเมิดข้อมูลที่รุนแรงสำหรับแอปพลิเคชันระดับองค์กร ความท้าทายเหล่านี้เพิ่มขึ้นทุกวันเนื่องจาก API มีบทบาทสำคัญในการเร่งสร้างนวัตกรรม โชคดีที่เพื่อปกป้องนวัตกรรมนี้ ผู้ให้บริการ API มีชุดเครื่องมือมาตรฐานไม่กี่ชุดให้เลือก ด้านล่างนี้ เราจะตรวจสอบเครื่องมือโอเพนซอร์สที่ช่วยเปิดใช้งานการรักษาความปลอดภัย API เราได้สรุปยูทิลิตี้การทดสอบความปลอดภัยโอเพนซอร์สที่เป็นประโยชน์ มาตรฐานแบบเปิด และโซลูชันการจัดการข้อมูลประจำตัวฟรีที่สามารถใช้ช่วยสร้างและทดสอบสถาปัตยกรรม API ที่ไม่น่าเชื่อถือ Astra เป็นเครื่องมือทดสอบการเจาะระบบ REST API แบบอัตโนมัติที่ใช้โดยวิศวกรความปลอดภัยและนักพัฒนาซึ่งเป็นส่วนหนึ่งของการพัฒนา API การทดสอบการเจาะระบบค่อนข้างซับซ้อนเนื่องจากมีการเปลี่ยนแปลงอย่างต่อเนื่องในโมเดล API และการเพิ่มจุดปลายใหม่ สามารถทดสอบ API การเข้าสู่ระบบและออกจากระบบโดยอัตโนมัติ (Auth API) นอกจากนี้ยังสามารถใช้คอลเลกชัน API เป็นอินพุตและทดสอบแต่ละจุดสิ้นสุด API แยกกันในโหมดสแตนด์อโลน คุณลักษณะเหล่านี้ทำให้เครื่องมือทดสอบการเจาะระบบนี้ค่อนข้างง่ายในการรวมเข้ากับไปป์ไลน์ CI/ CD คุณสมบัติ: การฉีด SQL การเขียนสคริปต์ข้ามไซต์ ข้อมูลรั่วไหล การตรวจสอบและการจัดการเซสชันที่ใช้งานไม่ได้ CSRF (รวมถึง Blind CSRF) ขีด จำกัด […]

API แบบอะซิงโครนัส ในขณะที่เทคโนโลยีของเราก้าวหน้า ความซับซ้อนก็เพิ่มขึ้นทุกวัน ความซับซ้อนใหม่อย่างหนึ่งคือการจัดการงานแบบอะซิงโครนัสด้วย API สมมติว่าแอปพลิเคชันของคุณต้องใช้การคำนวณพื้นหลังเป็นจำนวนมาก แทนที่จะให้ผู้ใช้รอหน้า UI ที่ว่างเปล่า ปลายทาง API แบบอะซิงโครนัสสามารถทำงานเบื้องหลังและแจ้งให้ผู้ใช้ทราบเมื่องานเสร็จสมบูรณ์ กระบวนการแบบอะซิงโครนัสไม่เพียงแต่ปรับปรุงประสบการณ์ผู้ใช้เท่านั้น แต่ยังช่วยให้คุณจัดการโหลดของเซิร์ฟเวอร์ได้ค่อนข้างดี ลองนึกภาพสถานการณ์ต่างๆ ที่เกี่ยวข้องกับเว็บแอปขนาดยักษ์ที่สร้างบน REST API มาตรฐานโดยไม่ต้องทำมัลติเธรด ไม่มีการซิงค์ และไม่มีคิวงาน จะเกิดอะไรขึ้นเมื่อจู่ๆ แอปพลิเคชันมีผู้ใช้ 50,000 ราย ทุกคนต้องการให้ระบบดำเนินการกระบวนการที่ซับซ้อนและใช้เวลานาน หากไม่มีระบบประปาที่เหมาะสม แอปพลิเคชันอาจประสบปัญหาการหยุดทำงานได้อย่างง่ายดาย ด้วยการจัดการการสื่อสารแบบอะซิงโครนัส คุณสามารถปรับปรุงประสบการณ์ผู้ใช้ จัดกำหนดการงาน และจัดการคำขอที่เกิดขึ้นพร้อมกันจำนวนมากได้ แน่นอนว่า API แบบอะซิงโครนัสไม่เหมาะสำหรับสถานการณ์แบบเรียลไทม์หรือเมื่อต้องดำเนินการตามลำดับ การพัฒนา API แบบอะซิงโครนัสอาจเป็นเรื่องยาก แล้วเราต้องสร้างอะไร? มันจะต้องการบางอย่างที่สามารถทำมัลติเธรด งานในคิว และทำฟังก์ชันอื่นๆ บางอย่างได้ บทช่วยสอนนี้สาธิตวิธีสร้าง API แบบอะซิงโครนัสด้วย Flask และเทคโนโลยีเพิ่มเติมบางอย่าง เช่น Celery, Redis, RabbitMQ และ Python Celery : Celery เป็นตัวจัดการงานแบบอะซิงโครนัสที่ให้คุณเรียกใช้และจัดการงานในคิว ส่วนใหญ่จะใช้สำหรับงานตามเวลาจริง แต่ยังช่วยให้คุณกำหนดเวลางานได้ มีสามองค์ประกอบหลักใน Celery: ผู้ปฏิบัติงาน นายหน้า และคิวงาน RabbitMQ : RabbitMQ […]

การสร้าง API Design ในช่วงไม่กี่ปีที่ผ่านมา มีการเพิ่ม API ของเว็บและการนำ REST มาใช้อย่างมาก เนื่องจากทั้งคู่กำลังเป็นที่นิยม นักพัฒนาจำนวนมากขึ้นอ้างว่าใช้ REST แม้ว่าพวกเขาจะไม่ได้ปฏิบัติตามข้อจำกัดดั้งเดิมของ Roy Fielding อย่างแม่นยำ นักพัฒนายังได้พยายามชี้แจงเพิ่มเติมเกี่ยวกับการออกแบบ API ด้วยโมเดลต่างๆ เช่นRichardson Maturity ModelหรือAPI Security Maturity Modelโดยเพิ่มชั้นของการปฏิบัติตามมาตรฐานของ FieldingREST คือชุดของข้อจำกัดทางสถาปัตยกรรมทั่วไป แต่ในการตั้งค่าจริง นักพัฒนา API ได้อาศัยแนวทางปฏิบัติที่ดีที่สุดและความคาดหวังเพิ่มเติม ด้านล่างนี้ เราจะกล่าวถึงเคล็ดลับบางประการสำหรับการออกแบบ API ของเว็บสมัยใหม่ การดูการใช้รูปแบบข้อมูล การตั้งชื่อปลายทาง รหัสข้อผิดพลาด การแบ่งหน้า และเคล็ดลับอื่นๆ เพื่อเสริม REST เคล็ดลับ 5 ข้อในการสร้าง RESTful APIs ติดกับ JSON ในทางเทคนิค REST API ไม่ได้จำกัดให้ทำงานกับไฟล์ประเภทเดียวเท่านั้น REST API สามารถใช้ไฟล์ XML และ SOAP เป็นต้น เพียงเพราะคุณไม่สามารถ หมายความว่าคุณ ควรแม้ว่า ตามหลักการทั่วไป […]