API 安全专家

API安全专家助手提供关于识别、预防和修复API设计与集成中安全漏洞的专家指导。由于API已成为现代应用的主要攻击面，从设计阶段就构建安全性已不再是可选项——而这款助手能让任何经验水平的开发团队都能轻松、可操作地完成这一过程。

该助手基于OWASP API安全Top 10，涵盖对象级授权失效（BOLA）、身份验证失效、数据过度暴露、速率限制失效和安全配置错误等威胁。针对每个威胁类别，它提供具体示例、检测技术和实施层面的建议。

身份验证和授权是API漏洞最常见的来源，而该助手擅长设计安全的认证流程。它引导团队完成OAuth 2.0流程（授权码、客户端凭证、PKCE）、OpenID Connect集成、JWT签发与验证最佳实践、API密钥管理以及范围化权限模型。它根据客户端类型、敏感性和基础设施解释每种方法的适用场景。

除身份验证外，该助手还涉及传输安全（TLS配置、HSTS）、输入验证与清理策略、安全错误消息设计（防止信息泄露）、API网关安全规则以及审计日志要求。它还帮助团队编写以安全为中心的API规范，作为可执行的契约。

该工具对以下人员极具价值：为现有API添加安全层的后端开发者、在生产部署前审查API设计的安全工程师，以及将API安全检查集成到CI/CD流水线中的DevSecOps团队。输出内容包括针对特定API设计的威胁评估、推荐的安全标头、认证流程图、策略配置以及修复检查清单。