Então você resolveu ter uma API... já imaginou quais pontos sobre segurança você precisa pensar antes de expor seus dados online?
GRAVAÇÃO
https://www.youtube.com/edit?o=U&video_id=fmozjsCzwxA
11. Acesso à Maquina
Segurança física é o primeiro nível
Se alguém tiver acesso à máquina….
Procure ambientes auto-gerenciados
Valide frequentemente
Como estão os acessos a máquina
Quem possui estes acessos
12. Acesso aos Fontes
Se o seu código fonte está público cuidado
Pessoas podem explorar brechas
Podem explorar itens como ‘salt-key’
Deploy automatizado pode causar ainda mais dano
15. IPs e Acesso Externo
Existem chineses malvados!
Se sua API vai rodar no Brasil, então bloqueie outros IPs
Se sua API é consumida apenas pelo seu site, ela pode ser liberada
apenas para ele
No modelo PayAsYouGo você paga por consumo
Aceitar bilhões de requisições também significa aceitar um grande
Brute Force
16. HTTPS e SSL
HTTPS/SSL permitem um trafego encriptado
HTTPS não são visíveis em ferramentas de sniffing
TODA API DEVE POSSUIR HTTPS
19. Autenticação
Você não fica autenticado em APIs
Autenticação ocorre a cada requisição
Temos basicamente dois tipos de autenticação
Basic
Bearer
20. Basic Auth
Autenticação Básica
É enviado o usuário/senha encriptados em base64 a cada requisição
Fácil de interceptar
Mais fácil ainda de desencriptar