如何保证api接口的安全（REST接口）？

多数采用OAuth2，不过对于盗cookie没招，走HTTPS吧

api进行token校验或者签名，另外对于防刷，要进行限流

后台可以用token或session进行身份校验，session更严格一些会有超时时间；如果不需要登录，只是验证身份，可以利用生成token（可以根据姓名等信息再加上时间戳）并返回，请求接口时每次携带该token,并且设置机制，如果请求token过期了，需要请求方重新获取有效token再次请求该接口；

1.对IP进行过滤，频繁访问的进行限制。
2.使用token令牌进行验证，通过后进行业务逻辑。
3.不对参数过渡暴露，传输的文本根据业务级别进行加密。

• 签名鉴权

• ip限流

使用token令牌授权，控制ip访问频率

题主要看你如何定义接口安全了，我们可以看看新浪微博，每天无数的爬虫在爬，他的接口安全么？一般意义上安全指的是传输过程中不被盗取，走https基本可以做到，至于有人拿到api文档一类的东西（app被反向），那怎么样也防不了

所以如同楼上
1.对IP进行过滤，频繁访问的进行限制。
2.使用token令牌进行验证，通过后进行业务逻辑。
3.不对参数过渡暴露，传输的文本根据业务级别进行加密。

没有绝对的安全，题主可以看看微信开发者文档，看看他们的接口是怎么设计的