Apigee公司的首席技術(shù)官Greg Brain討論了在與技術(shù)密切配合過程中，如何保證API安全性這一關(guān)鍵問題。

如今，許多公司都在向現(xiàn)有的合作公司、國際軟件開發(fā)人員和顧客公開其擁有的應(yīng)用程序接口（API），但是Apigee公司的總設(shè)計(jì)師Greg Brail認(rèn)為，這種做法僅僅是觸及到技術(shù)應(yīng)用的表面，而非真正較好的應(yīng)用技術(shù)。轉(zhuǎn)型交易中能否獲取豐厚的回報(bào)、價(jià)值和創(chuàng)新則取決于你能否向那些為合作過的企業(yè)公開API，從而獲取一些新的合作伙伴和客戶，并充分發(fā)揮第三方平臺(tái)的創(chuàng)新優(yōu)勢。

書名為《APIs: A Strategy Guide》的合作者Brail說：“公開API的舉動(dòng)與當(dāng)今互聯(lián)網(wǎng)與萬物相連接的這個(gè)觀點(diǎn)相吻合。API是每個(gè)用戶、每個(gè)云服務(wù)和每個(gè)設(shè)備之間彼此溝通的渠道。”

Brail說，在幕后，API設(shè)有通信層，提升了應(yīng)用程序現(xiàn)代化速度。在本次采訪中，他向我們解釋了API再業(yè)務(wù)轉(zhuǎn)型中所發(fā)揮的作用，同時(shí)，在處理關(guān)鍵問題方面提供了一些指導(dǎo)建議，其中包括API安全性、可訪問性和效率。

對(duì)于應(yīng)用開發(fā)團(tuán)隊(duì)在業(yè)務(wù)轉(zhuǎn)型以及應(yīng)用現(xiàn)代化方面運(yùn)用API這個(gè)問題您是怎么看的？

他方面的應(yīng)用程序。一旦你獲取到這些應(yīng)用程序接口的使用權(quán)限，那就意味著，構(gòu)建這些應(yīng)用程序就等同于要構(gòu)建一個(gè)新的用戶界面，而不是將這些不同的內(nèi)部系統(tǒng)整合到一個(gè)界面。API可以讓數(shù)字化轉(zhuǎn)型作為遺留應(yīng)用程序本身的一個(gè)操作層級(jí)。

好消息是，移動(dòng)Web服務(wù)帶動(dòng)了遺留應(yīng)用程序Web服務(wù)的發(fā)展。因此，如今很難發(fā)現(xiàn)沒有Web服務(wù)層的遺留應(yīng)用程序了。在應(yīng)用程序現(xiàn)代化進(jìn)程中，你可以在應(yīng)用程序中設(shè)置一個(gè)API。API可以像處理安全性問題一樣處理其他事情，同時(shí)也可以緩存和隱藏遺留系統(tǒng)設(shè)備和應(yīng)用程序中涉及到API的細(xì)節(jié)問題。然后，當(dāng)應(yīng)用權(quán)限到期時(shí)，如果你想要做些改變，你只需改變API層就可以，而不需要重新編寫所有的編碼。

何時(shí)創(chuàng)建API，開發(fā)人員將面對(duì)的首要挑戰(zhàn)又是什么呢？ 設(shè)計(jì)時(shí)必須具備良好的描述功能以及能更容易的被用戶所理解和應(yīng)用。

一般來說，REST(具象狀態(tài)傳輸)實(shí)用的設(shè)計(jì)原則可以很好地服務(wù)于這些領(lǐng)域，因此，也不需要再重新設(shè)計(jì)。REST可以讓開發(fā)人員們查看并了解API如何工作。同時(shí)也為剛?cè)肼毜拈_發(fā)人員創(chuàng)建新文檔。在網(wǎng)頁上點(diǎn)擊一個(gè)按鈕后，他們就會(huì)獲得訪問應(yīng)用程序的證書，而無需綁定一個(gè)已有訪問權(quán)限的手機(jī)號(hào)碼。

開發(fā)人員如何能保證API可以讓應(yīng)用程序運(yùn)行速度足夠快，以此確保終端用戶可以獲取到良好的用戶體驗(yàn)？

緩慢的電信網(wǎng)絡(luò)來傳遞這些信息。性能最佳的API會(huì)為每一個(gè)設(shè)備提供一個(gè)獨(dú)立的API，可以保證設(shè)備延時(shí)最小以及CPU最低占有率，從而達(dá)到最優(yōu)化程度。關(guān)鍵的一步是要將最佳的用戶體驗(yàn)傳輸?shù)浇邮茉O(shè)備上。

當(dāng)公司在互聯(lián)網(wǎng)上公布內(nèi)部應(yīng)用程序時(shí)，需要關(guān)注哪些API安全問題？

企業(yè)網(wǎng)絡(luò)上，但是VPN的訪問許可成本高，而且這個(gè)過程非常復(fù)雜。公司數(shù)量的增多卻不會(huì)影響VPN方案的執(zhí)行。

人們錯(cuò)誤地認(rèn)為內(nèi)部網(wǎng)絡(luò)是安全的，因此，內(nèi)部應(yīng)用可以在整個(gè)互聯(lián)網(wǎng)上運(yùn)行。自從90年代有了Windows病毒以來，這樣的說法就不能成立。

為了保證API的安全性，在適當(dāng)?shù)奈恢眠M(jìn)行加密處理是必要的。確保移動(dòng)設(shè)備和API具有認(rèn)證機(jī)制，使用具有等級(jí)現(xiàn)實(shí)的測量工具以及威脅檢測檢驗(yàn)，保證應(yīng)用程序在其指定范圍內(nèi)運(yùn)行，沒有不尋常的流量模式，也沒有被破壞。

您所知道的使用API簡化與客戶及供應(yīng)商交流方式的案例有哪些？

Brail: 多年來，在電信領(lǐng)域，公司應(yīng)用API項(xiàng)目可以非常順利地與供應(yīng)商及客服進(jìn)行溝通。有了大型電信零售商的存在，你可以到實(shí)體店里購買移動(dòng)設(shè)備。此時(shí)，零售商就必須與電信公司聯(lián)系，然后出售手機(jī)。在許多案例中，通過API，電信公司能與零售商保持聯(lián)系。這個(gè)例子幾乎每個(gè)人都會(huì)遇到。

Jan Stafford在TechTarget公司的應(yīng)用程序開發(fā)傳媒團(tuán)隊(duì)的戰(zhàn)略和發(fā)展中起到計(jì)劃和監(jiān)督的角色。過去的20多年中，她在計(jì)算機(jī)領(lǐng)域中從事報(bào)道性工作，文章內(nèi)容包括個(gè)人計(jì)算機(jī)、操作系統(tǒng)、服務(wù)器虛擬化以及應(yīng)用程序開發(fā)。