1. Use HTTPS
Bất cứ ứng dụng Backend hoặc Frontend nào khi đã triển khai lên môi trường internet cần phải sử dựng giao thức HTTPS để đảm bảo tính bảo mật và tóc độ đường truyền ổn định.
2. Use OAuth2
Nếu bạn đang tìm kiếm một giải pháp chia sẻ quyền truy cập thông qua uỷ quyền thì đây là một lựa chọn lý tưởng.
3. Use WebAuthn
WebAuthn là một tiêu chuẩn web được phát triển bởi W3C. WebAuthn cung cấp phương pháp xác thực người dùng trên các trình duyệt web và ứng dụng trực tuyến. Mục tiêu chính của WebAuthn là loại bỏ việc sử dụng mật khẩu truyền thống bằng cách cung cấp một cơ chế xác thực dựa trên các phương tiện xác thực không dựa vào mật khẩu như vân tay, nhận dạng khuôn mặt, hoặc các thiết bị bảo mật như USB token.
4. Use Leveled API Keys
Cơ chế này cho phép người quản trị hoặc nhà phát triển chia nhỏ quyền truy cập API thành các cấp độ khác nhau dựa trên mức độ quyền lợi và tính an toàn. Mỗi cấp độ sẽ có các quyền truy cập và hạn chế khác nhau đối với các tài nguyên và chức năng của API.
5. Authorization
Authorization là quá trình xác định xem một người dùng hoặc một hệ thống có quyền truy cập vào các tài nguyên, dịch vụ hoặc chức năng cụ thể hay không. Trong môi trường máy tính và mạng, quyền ủy quyền thường được quản lý thông qua các hệ thống quản lý quyền truy cập như Access Control Lists (Danh sách kiểm soát truy cập) và Role-Based Access Control (RBAC).
6. Rate Limiting
Rate limiting là một kỹ thuật được sử dụng để kiểm soát và hạn chế số lượng yêu cầu mà một người dùng hoặc một hệ thống có thể thực hiện đến một dịch vụ hoặc tài nguyên trong một khoảng thời gian nhất định. Mục tiêu chính của rate limiting là bảo vệ hệ thống khỏi các cuộc tấn công quét, tấn công từ chối dịch vụ (DoS), hoặc việc sử dụng quá mức của nguồn tài nguyên.
7. API Versioning
Nên đặt version cho các API tại các header để đảm bảo tính đắn và nâng cao chất lượng bảo mật
8. Whitelisting
Một danh sách trang sẽ cho phép bạn bỏ qua một số truy cập không cần sử dụng token.
9. Check OWASP API Security Risks
OWASP API Security Risks là một danh sách các rủi ro về bảo mật API được định danh và công bố bởi OWASP (Open Web Application Security Project), một tổ chức phi lợi nhuận với mục tiêu tăng cường bảo mật cho ứng dụng web và dịch vụ web.
10. Use API Gateway
Tất các API bắt buộc phải đi qua một Port duy nhất và đóng tất cả các Port khác để đảm bảo không có lỗ hổng cho phép hacker tấn công.
11. Error Handling
Khi ứng dụng xảy ra sự cố thì cần xử lý tốt các ngoại lệ và in ra lỗi cũng như mã lỗi rõ ràng và điều hướng hợp lý để không gấy chết ứng dụng.
12. Input Validation
Chuẩn hóa dữ liệu đầu vào là một nhiệm vụ bắt buốc nếu bạn không muốn database của bạn là một bãi rác. Hơn nữa các dữ liệu không đúng đắn sẽ dẫn đến sai lêch các kết qủa tính táo xử lý.
