面对没授权的访问，拒绝服务的攻击，以及窃取机密数据等攻击，企业要使用通用安全框架，来保护其后台不受到攻击，并保证良好的用户体验。从请求到后端，后端响应横断网络，最后返回给前端，这一系列过程，对于API接口保护方法，所以按这个过程大致可分为四种类型

1、保障传输中的数据安全。

1.1客户端到API网关安全
1.2 API网关与后端服务安全。

为了保证传输的数据安全，用到SSL/TLS，SSL是在在TCP与http之间加了可选层，利用数据加密技术，确保数据在网络上传输过程不会被截取，TLS是通讯协议，用于两个应用程序之间提供保密性和安全性，分为两部份，第一部份双方协商密钥，第二部份，定义传输的格式。

假设A和B想说悄悄话，不想让别人听到，怎么做呢？
A通过SSL通道对B讲：我想和你安全通话，我这里对称算法有DES、rc5,密钥交换有rsa,dh,摘要算法有md5、sha.
B：我们用des-rsa-sha组合好了，这里有我证书，里面有我的名字和公钥，你去验证下我身份（把证书给A）。
A用了ca的证书验证了B证书,确认了B的身份，原来真是他的情人，然后用B的公钥，生成秘密信息情书。
A：这是我给你的情书，有很多秘密信息，用你的公钥加过密了，只有你的私钥才能解开。（然后把情书给到B）
A和B情书信息就不会被人知道了。

2、访问控制与抵御拒绝服务（例如DDos攻击）

首先要识别是正常请求还是恶意攻击，一些管理平台会自动根据流量的大小、类别、来源等来识别各种可疑的行为，如apigee就是检测服务，识别出恶意攻击之后，就会策略保护API勉受恶意黑客的攻击，如限速、分流、扩容、CDN、正则保护、验证请求等等。

3、身份验证与授权。

识别可靠最终用户信息，例如用OAuth2.0，动态码，身份验证器，识别最终用户，授予已识别的用户访问某些资源的权限。

4、数据保密与屏蔽个人身份信息。

一些私有隐私的信息不应该出现在公众视野中，所以要对用户信息、密码、帐号、邮件、地址进行转码加密、访问控制、安全审计等手段来保护