14、API管理的关键要素与实践

API管理的关键要素与实践

1. API安全策略

1.1 零信任策略

零信任策略默认将第三方API提供者和消费者视为不安全的，无论其是外部还是内部的。这意味着要为内部和外部API实施所有相关的安全措施，就好像它们默认都是外部且不可信的。

1.2 安全失败机制

所有API可能会由于输入错误、请求过载或其他原因而无法处理事务。API实例内部的任何失败都不应覆盖安全机制，并且在失败时必须拒绝访问。

1.3 正确修复API安全问题

一旦发现API安全问题，应专注于正确修复，避免采用可能在短期内解决问题但未解决根本原因的“快速修复”方法。开发者和API安全专家需要了解问题的根本原因，为其创建测试，并以对系统影响最小的方式进行修复。修复完成后，应在所有支持的环境和平台上对系统进行测试。

2. API监控

2.1 监控的重要性

提升API产品的可观测性质量至关重要。只有拥有关于API性能和使用情况的准确且最新的信息，才能妥善管理API。API监控的核心在于使这些信息可用、可访问且有用。随着时间推移和规模扩大，监控API实例与接口设计或实现开发一样，对API管理至关重要。

2.2 可监控的内容

在API实例中，有许多方面可以进行监控：
- 问题 ：如错误、失败、警告和崩溃。
- 系统健康 ：例如CPU、内存、I/O、容器健康状况。
- API健康 ：包括API正常运行时间、