مقدمه
API ها براي به نمايش گذاشتن ويژگي هاي و خواص Business در نرم افزارها ، به همه جا
( REST (، به طور فزآينده اي محبوب شده اند. بر طبق اطلاعات منتشر شده توسط Layer7 ،
86.5 درصد از سازمان ها حداقل يك نرم افزار بر پايه API در پنج سال آينده خواهند داشت. از
اين تعداد، 43.2 ٪ در حال حاضر يكي از اين نرم افزار ها را دارند. API ها همچنين پايه و اساس
ايجاد كانال هاي ارتباطي در اينترنت اشياء ) IoT ( مي باشند، از وسايل نقليه موتوري تا لوازم
آشپزخانه، اقلام بي شماري شروع به برقراري ارتباط با يكديگر از طريق API ها مي كنند. سيسكو
برآورد مي كند تا سال 2020 تا 50 ميليارد دستگاه بتواند به اينترنت متصل شود.
اين كتاب در مورد تأمين مهمترين API هاي شماست. همانطور كه در مورد طراحي هر سيستم
نرم افزاري وجود دارد، مردم معمولا عناصر امنيتي را در مرحله طراحي API ناديده مي گيرند.
آنها فقط در زمان استقرار يا در زمان يكپارجه سازي و تكميل ، توجه به موارد امنيتي را آغاز مي
كنند. امنيت هرگز نبايد بعد از طراحي باشد ، اين بخشي جدايي ناپذير از طراحي هر سيستم
نرم افزاري است و بايد از ابتداي طراحي به آن توجه شده باشد. يكي از اهداف اين كتاب اين است
كه شما را در مورد نياز به امنيت و گزينه هاي موجود براي امنيت يك API آموزش دهد.
اين كتاب شما را از طريق يك فرآيند مشخص هدايت مي كند و بهترين شيوه ها را براي طراحي
API ها براي امنيت جامع به اشتراك مي گذارد.امنيت API در پنج سال گذشته بسيار پيشرفت كرده است. رشد استانداردها نشان داده شده است
OAuth 2.0 ، استاندارد ترين استاندارد است. اما اين چيزي بيش از يك استاندارد است ، اين يك
چارچوب است كه به مردم اجازه مي دهد استانداردها را بر روي آن بنا كنند. اين كتاب به طور
عميق توضيح مي دهد چگونه از API هاي امنيتي، از سنتي HTTP Basic Authentication تا
OAuth 2.0 و استانداردهاي ساخته شده در كنار آن، از قبيل OpenID Connect ، مديريت
دسترسي كاربر ) UMA ( و بسياري ديگر چگونه بايد استفاده نمود.
JSON نقش مهمي در ارتباطات API ايفا مي كند. اكثر API هاي توسعه يافته امروز تنها از
JSON پشتيباني مي كنند، نه XML ، اين كتاب همچنين بر امنيت JSON تمركز دارد. JSON Web Encryption (JWE) و JSON Web Signature (JWS) دو عنصر مهم آن
هستند.استانداردهاي به طور فزاينده اي براي امنيت پيام هاي JSON استفاده مي شوند ، بخش
دوم اين كتاب جزئيات JWE و JWS را پوشش خواهد داد.يكي ديگر از اهداف مهم اين كتاب اين است كه نه تنها مفاهيم و نظريه ها را ارائه دهد، بلكه هر
يك از آنها را با نمونه هاي خاص توضيح مي دهد. اين كتاب نمونه اي جامع از مواردي است كه
با API ها از گوگل، توييتر، فيس بوك، ياهو، Salesforce ، Flickr و GitHub كار مي كنند.
تكامل امنيت API موضوع ديگري است كه در اين كتاب مورد بررسي قرار گرفته است. بسيار مهم
است كه بدانيم پروتكل هاي امنيتي در گذشته چگونه طراحي شده اند و چگونه نقاط ضعف در
آنها كشف شده است. اين كتاب شامل جزئيات ، برخي از پروتكل هاي امنيتي قديمي مانند
Flickr Authentication ، Yahoo! BBAuth ، Google AuthSub ، Google ClientLogin ، و
ProtectServe نيز مي باشد.
اميدوارم اين كتاب به طور موثري براي اين عنوان پركاربرد و با اهميت براي توسعه دهندگان API
كاربردي باشد و نياز هاي آنان را پوشش دهد و اميدوارم از خواندن آن لذت ببريد.انتشار اين
فناوري هاي جديد جمعي مي تواند به طور مستقيم سرعت و كارايي بي سابقه اي به تعداد زيادي
از مردم عرضه كند اما هزينه هاي بالا به اين معني است كه كنترل جريان اطلاعات در دست چند
نفر انتخاب مي شود . تحول اطلاعات به يك روش متمركز و يكپارچه تبديل شده بود كه الگوي
بخش را تحت تاثير قرار مي داد . امپراتوريهاي وسيع رسانه ها در اطراف اين فناوري رسانه اي
وسيع رشد مي كنند