赵超
定义良好的API描述了流程,包括业务和运营,能够实现自动化,并为我们发展和运营业务的方式带来新的效率。定义明确的API是业务的数字代表,并为新的市场和商业模式拓展机会。这一点很重要,因为API所描述的流程(包括业务和运营)都与数字世界中2个非常重要的概念联系在一起:生态系统和市场。
不难看出,如今大部分数字经济是由API驱动的,API使卖家能够参与到市场中。这些市场是数字时代的购物中心,将不同的卖家聚集在一个单一的、可访问的地点,以方便购物者。归根结底,这是通过API实现的。
在数字商场之外,也有一个不断增长的生态系统,使独立企业能够参与到数字经济中。送货服务、运输和餐馆都在越来越多地使用API,成为数字生态系统的一部分,使消费者能够在家里舒适地用手机购买商品和支付。
据估计,全球API的数量(公共或私人)已经接近2亿。在企业内部,API也在以指数级的速度增长。无论是为了实现基础设施即代码或自动化开发和部署管道,还是作为微服务、单体和移动电话之间的主要集成手段,API都在以惊人的速度激增。
虽然这都是好消息,使各种规模和形状的企业都能参与数字经济,但如果不把API视为战略资产,它也会产生后果。
管理不断增长的API组合
随着API的不断普及,企业有效地管理和控制它们将变得越来越困难,在需要治理的地方有多种考虑,其中包括:
版本管理。API随着时间的推移而被淘汰,API版本和功能的不匹配会导致流程的中断和糟糕的客户体验。由于向金融机构(包括支付处理商)提供的API过时而导致的交易失败,当持续失败后导致调用的代码被标记为欺诈的时,可能导致拒绝访问。供应链的崩溃会对服务的可靠性造成破坏,随后对整个企业产生负面影响。API是契约,因此,使用者和提供者都有指定的责任。企业需要明确地管理API的版本,并着眼于明确的沟通,如果更新的推出需要相当长的时间,则需要有能力同时支持多个版本。清晰的文件和沟通对于API生态系统和市场的成功至关重要。
访问控制。准确识别API用户的能力对于抵御欺诈和滥用至关重要。这在生态系统中尤为重要,因为生态系统中的通信是应用程序与应用程序之间的通信,如零售商和市场的支付处理。API是由应用程序调用的,其过程由应用程序管理,因此问题不再是“用户是一台机器”,而是“这个用户的行为告诉我他们的意图是什么,是滥用、欺诈还是合法?”企业需要使他们的API安全方法现代化,并纳入现代和适应性的安全方法,包括行为分析和内容检查。允许根据与用户相关的风险,超越身份,访问和调用API的新方法,将是大规模解决这一问题的关键。
密码管理。密码管理并不是API所特有的,但由于API供应商依赖令牌和钥匙来建立调用API的权限,其重要性被放大。越来越多的数字服务跨越多个渠道———从移动到网络,跨越多个后端应用,以及多个地点。从云到数据中心到边缘,这些都放大了管理密碼的挑战,很多时候,密码都是在“不确定”的情况下被泄露。
作为一个行业,我们一直依赖传统技术来建立身份,并确定对几乎所有资源的访问权。随着API的数量和调用它们的用户不断增加,必须管理的令牌和键的数量将变得难以处理。动态身份验证和授权将需要消除使用“硬连接”凭证、密钥和令牌来管理对API的访问。
API驱动的经济依赖于API治理
治理一词经常与安全性联系在一起,但实际上API治理是一种建立框架和护栏的实践,这些框架和护栏可以改进API的开发和操作。这包括版本管理和文档以及更多与安全相关的实践。
关键是实践。没有任何一种工具能够管理一个不断增长的API组合,也没有任何一种工具能够驯服API的蔓延。实践和决心将正确的工具、框架和防护措施落实到位,将使各组织能够在不断增长的数字经济中增加份额,并安全地快速移动。