API技术的“前世今生”
API(Application Programming Interface)应用编程接口是伴随着计算机程序设计技术与软件工程发展起来的基础概念,最早的设计以提升系统与应用程序的开放性集成与扩展性能力为主;随着现代面向服务的架构、云计算技术广泛采用与应用开发模式升级,API现在被广泛用于定义与提供集成业务应用与服务,并且具备了内外部数据传输能力。API技术自身的REST架构化风格发展(Representational State Transfer,表述性状态转移)其核心是为了更直观、便捷的获取、操作、传输数据资源。
数字经济时代、企业数字化转型过程中,数据资产的比重与价值得到迅速提升,API成为数据价值开发利用环节最重要的媒介之一, 企业的核心业务逻辑与敏感数据开始“API化”,并推动着技术与业务服务模式创新。例如,在金融科技领域,浦发银行于2018年7月推出了业内首个API Bank无界开放银行,通过API架构驱动,塑造全新银行业务模式。
在技术与商业价值等多重驱动下,API应用焕发了前所未有的活力。据Akamai的一项统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次;仅2021年通过Postman平台的API通信遍布全球234个不同国家,较同期增长56%。API已经几乎在全世界被开发和调用。
API数据安全形势与监管合规要求
与此同时,伴随着API商业价值与自身承载业务与数据交互能力的不断跃升,安全形势变得愈发严峻。相对传统安全隔离与纵深防护的体系,利用API“绿色通道”进行商业机密与个人信息数据窃取等网络攻击,攻击路径、成本显著降低,因此针对API的网络攻击迅速受到内外部威胁的“青睐”而成为首选目标。 根据Gartner此前的预测:“到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介;到2024年,API安全问题引起的数据泄露风险将翻倍。”来自国内永安在线API安全研究报告,仅2022年第一季度共监测到640余起数据泄露事件,涉及企业200余家,并显示出逐月明显上涨的趋势。 
