译者序

一提起“信息安全”，不管是业内专家还是所谓的“吃瓜群众”，多半都会在脑海中浮现“网络安全”“Web安全”“软件安全”“数据安全”等常见的词汇。市面上绝大多数安全类书籍也多集中在这几个领域，而从API视角阐释信息安全的资料却凤毛麟角，也很少有人从软件系统之间“接口”的角度来分析和挖掘安全漏洞。

API最初的应用基本都在本地系统之上。时至今日，API已经成为各类软件系统（尤其是大型Web系统）集成的一种重要技术手段。随着Web API的不断普及，相应的协议（如SOAP）以及框架规范（REST）也随之产生。这些协议或框架规范通常会被设计为使用API来接收或发送消息，确保不同系统之间或不同编程语言之间能够共享信息和数据。随着前端设备的层出不穷（如手机、平板电脑、台式电脑等），必须有一种统一的机制，方便不同的前端设备与后端进行通信。这就使API架构流行起来，由此产生的安全问题也日益凸显。

真正拿到本书的英文版时，我们很好奇作者能够从什么样的角度来诠释API安全，因为在我们看来，API安全的覆盖面实在太广，涉及加密、认证、授权、注入攻击、跨站请求伪造，等等。市面上能够涵盖这些内容的书籍资料一般多是“点到为止”，很少能做到“深入浅出”。然而，当开始翻译本书后，我们发现本书的作者凭借自身丰富的实战经验，让我们能够身临其境地看到当前Web系统中API技术所面临的弱点和所需要防御的方方面面。并且，随着阅读的深入，越来越多引人入胜的内容呈现在我们面前，详尽的问题阐述，各种安全威胁的介绍和防范方法，特别是针对当前最新的防御体系的深入剖析，都令我们获益匪浅。

在本书的翻译过程中，我们尽量做到将原著中的精彩内容呈现给读者，但由于译者的水平有限，翻译不当之处，还请广大读者批评指正。

译者
2022年4月