Wprowadzenie
API Security (Bezpieczeństwo API) to zestaw praktyk i technologii chroniących interfejsy programistyczne (API) przed atakami, nadużyciami, wyciekami danych oraz nieautoryzowanym dostępem. W erze mikroserwisów, AI i aplikacji chmurowych API stały się jednym z najczęstszych wektorów ataków.
Największe zagrożenia API (OWASP API Security Top 10)
- Broken Object Level Authorization (BOLA)
- Broken Authentication
- Excessive Data Exposure
- Lack of Rate Limiting
- Broken Function Level Authorization
- Mass Assignment
- Security Misconfiguration
- Injection attacks (SQLi, NoSQLi, LLM Injection)
- Improper Assets Management
- Insufficient Logging & Monitoring
Kluczowe mechanizmy ochrony API
- Authentication & Authorization – OAuth 2.0, OpenID Connect, JWT, API Keys
- Rate Limiting & Throttling – ochrona przed brute-force i DoS
- Input Validation & Sanitization
- API Gateway (Kong, Apigee, AWS API Gateway, Kong, KrakenD)
- mTLS (mutual TLS) – wzajemne uwierzytelnianie
- Web Application Firewall (WAF) dla API
- Zero Trust Architecture
API Security w kontekście AI (2026)
- Ochrona endpointów LLM (prompt injection, data leakage)
- Rate limiting dla drogich zapytań AI
- Token-level permissions i scoped access
- Monitoring anomaly detection w zapytaniach do modeli
- Bezpieczne RAG i tool calling
Najlepsze praktyki
- Zawsze używaj HTTPS + TLS 1.3
- Implementuj zasadę najmniejszych uprawnień (Principle of Least Privilege)
- Regularne audyty i pentesty API
- Automatyczne generowanie i walidacja OpenAPI/Swagger specyfikacji
- Centralizowane logowanie i monitoring (SIEM + API-specific tools)
Powiązane pojęcia
OAuth 2.0 • JWT • Rate Limiting • API Gateway • OWASP API Security • Zero Trust • mTLS • Prompt Injection • AI Security