一、API的前生今世

（1）4中API表现形式

在API的发展历程中，根据其表现形式的不同，大致分为如下4种类型。

【1】类库型API。类库型API通常是一个类库，它的使用依赖于特定的编程语言，开发者通过接口调用，访问API的内置行为，从而处理所需要的信息。例如，应用程序调用微软基础类库（MFC）

【2】操作系统型API。操作系统型API通常是操作系统层对外部提供的接口，开发者通过接口调用，完成对操作系统行为的操作。例如，应用程序调用Windows API或Linux标准库。

【3】远程应用型API。远程应用型API是开发者通过标准协议的方式，将不同的技术结合在一起，不用关心所涉及的编程语言或平台，来操纵远程资源。例如，Java通过JDBC连接操作不同类型的数据库。

【4】Web应用型API。Web应用型API通常使用HTTP协议，在企业与企业、企业内部不同的应用程序之间，通过Web开发过程中架构设计的方法，以一组服务的形式对外提供调用接口，以满足不同类型、不同服务消费者的需求。例如，社交应用新浪微博的用户登录。

（2）基于技术形式的类型划分的API

每一个API都有着不同的技术实现，使用不同的开发语言，或使用不同的协议标准，基于这些技术形式和技术的普及程度，将现代API划分为RESTful API、GraphQL API、SOAP API、gRPC API、类XML-RPC及其他类型API。
■ RESTful API：此类API在技术形式上，以REST风格为主，是当前业界主流的API技术形式。
■ GraphQL API：此类API采用Facebook提出的GraphQL查询语言来构建API服务，尤其适用于树状、图状结构数据的使用场景。
■ SOAP API：即使用SOAP协议作为API接口交互方式的API应用，以Web Service为代表。
■ gRPC API：此类API采用Google的gRPC框架，通过Protobuf协议来定义接口和条件约束，完成客户端和服务器端的远程调用。
■ 类XML-RPC及其他类型API：此类API包含多种技术，因使用的普及率低故将其归类在一起，通常包含XML-RPC的API、JMS（Java Message Service）接口、WebSocket API以及IoT通信协议的接口等。

二、API安全的演进

（1）什么是API安全

API安全是从安全的角度关注API领域的安全问题和这些问题的解决方案，从技术和管理两个层面提高API自身和API周边生态的安全性。
本文谈论的API实际是以现代API为主，其关注的安全领域与传统的Web安全比较接近，但又不同于Web安全，属于IT领域中技术细分的交叉地带。传统Web安全更多的是关注Web应用程序的安全性，以服务器端应用程序安全为主，其漏洞表现形式主要为SQL注入、XSS、CSRF等。而API安全是在API技术被广泛使用后，攻击面不断扩大的情况下带来的安全管理问题和安全技术问题，它面临的外部环境比传统的Web安全更为复杂，通常内部包含API服务及其运行环境（与传统Web安全相似），外部包含API客户端应用程序、IoT设备、监管政策以及第三方合作厂商运作支持等，是API经济背景下各个方面安全能力的总集。
在这里插入图片描述