主要观点：APIs 是当代应用的关键，虽重要但存在暴露风险，恶意行为者常从 API 入手进行攻击，开发者应掌握安全 API 的重要概念，包括认证、速率限制和输入验证等。
关键信息：

• 认证：定义谁能访问 API，内部常用静态 API 密钥，新系统用令牌如 JWT 或 OAuth2 提供更精细控制，要安全实施需选择认证类型，如内部用 API 密钥、用户会话用 JWT 等，且要验证和轮换令牌、使用 HTTPS。
• 速率限制：防止合法用户过载 API，减少滥用等，需确定实体在给定窗口内的请求数，可选择固定窗口等机制，选择标识符，使用工具如 express-rate-limit、Redis 等，设置限制并标准化错误响应。
• 输入验证：用户输入是易被忽略的攻击面，默认应不信任，用模式验证库如 Pydantic 等确保数据类型等符合要求，避免注入攻击等。
• API 版本控制：软件会随时间变化，API 也应明确版本，可通过 URI 版本和基于头的方法，早期版本控制和弃用时间表文档可避免痛苦的破坏性更改。
  重要细节：
• JWT 是小而自包含的令牌含用户或客户端声明，常用于无状态系统；OAuth2 较难实现但提供委托访问模型，是 API 与第三方集成的标准。
• 速率限制工具如 express-rate-limit 可在 Node.js 中设置，Redis 适合分布式环境跟踪速率，可通过多种算法实现。
• Pydantic 等库可用于 Python 进行模式验证，明确指定数据类型等。
• API 版本控制可避免客户端因破坏性更改而受损，早期规划和文档很重要。