现今，我们在享受互联网带来的便捷同时，也在被互联网反向消费。比如我们的个人信息、银行账户信息、消费情况、兴趣偏好等等数据，都会通过在网络中的正常使用被记录在某个产品/系统内。如遇不法机构/个人对我们的这些信息进行非法获取，会造成一些不可预测的后果，比如由于个人隐私的泄漏，轻则可能导致财产损失，重则存在人身安全隐患。

——以袋鼠云数栈数据服务产品（EasyAPI）在银行业应用为例

银行业务系统繁杂，数据来源多样、涵盖面广，银行机构通常无法全面、快速地进行数据管理与共享/监控、用数据成本高、数据存在安全风险，并且基于数据洞察能力的数据应用场景越来越多，如何进行高效安全的数据支撑成为共同关注的问题。

银行面临的主要数据服务痛点：

1）服务管理混乱

越来越多的银行企业在实现 API 数据共享的同时，面临规模庞大的 API 管理分散、开发 API 资源不集中等问题。

2）服务质量粗糙

由于各分行数据来源和接口多样，服务质量参差不齐，无法保障上层业务可靠性。

3）缺少服务权限控制，存在数据安全隐患

随着银行企业 API 逐渐增多，调用量越来越大，为了防止客户端对接口的滥用、保护服务器资源、防止银行客户的信息泄漏等安全性问题，需要对API进行流量/权限管控。

· 构建 API 服务统一管理平台，支持内外部API统一管理，同时还可保障调用的安全性。

· API规范统一、调用次数、调用周期准确控制，降低管理成本。

· 对API进行流量控制、授权审批、调用监控等管理，防止 API 滥用，及时发现并帮助排查 API 调用过程中问题（如：非法调用、频繁访问等），随时掌握 API 使用情况、实现有效调用最大化。

首先介绍一下API的生命周期。

API生命周期一般包括：规划设计、实施、测试、发布、调用、监控等整个周期的管理。

解决方案架构图

对应以上建设目标，产品解决方案如下：

1.API管理

部门（API）管理者可对生成和注册API进行统一管理，进行API的发布，测试，禁用、删除等操作。

支持查看每个API的详情、调用情况、订购情况、安全限制，了解每个API的使用及订购情况，实现对API的全局一览/监控。

2.生成API与注册API

当开始规划银行系统功新能点时，会着手构思这个新功能要呈现怎样的API，如何使用实现数据可利用最大化，此时可通过数栈EasyAPI平台直接生成（创建）该API进行后续对接/数据共享。

当历史应用已有存量API在用，可直接将API注册至数栈EasyAPI平台进行统一管理，保障上层业务可靠性。 

3.数据安全保障

通过审批授权、调用限流、IP地址黑白名单、双模式鉴权（Token、AK/SK）、传输加密、行级权限等多种方式保障数据资产，安全地对外提供数据服务。

1）审批授权：

EasyAPI采用API申请授权的流程化设计，在使用API前，需要进行API的申请，申请单中可控制API的调用次数限制和有效期。经过API管理者的授权审批后，申请者可查看API相关的调用信息，才可对其进行调用。

2）调用限流：

API在生成时，可设置API单秒调用次数，保证API网关的稳定，防止恶意调用及攻击。

3）黑白名单限制：

• 允许对API调用进行IP地址黑白名单的访问限制

• 允许特定IP地址访问或设置特定IP地址不能访问

4）双模式鉴权：

• Token：

适合API测试、企业内部等安全性要求不高的使用场景。

• AK/SK：

为了API调用具有更高的安全性，适合应用系统间、跨域名等安全性要求高的使用场景。

5）传输加密：RSA+AES

用于传输加密，业务人员在进行银行客户隐私信息的传递时，可以选择为请求/返回信息做加密处理，保障数据传输的安全性。

6）行级权限：

支持建立行级权限标识，指定对应用户能访问的行级数据。 

通过以上多方面对API安全性的管控，为银行客户的信息数据、银行运营数据等保驾护航。

4.API告警

支持批量选择API进行告警规则创建，支持调用失败和在一定时间内出现多次调用失败的告警触发，支持通过邮件、短信、钉钉和自定义通道发送告警信息。

协助银行业务人员准确跟踪API的使用情况，甄别异常现象，及时解决所遇问题。

袋鼠云数栈产品全面引入各业务层数据资源，构建一体化数据服务通道，方便银行业务更快速高效的运行。除了大幅提升银行系统数据安全，还应用于以下业务场景：

由数据API经济引领的跨行业和跨市场价值重组，不仅催生众多新的业务组合，更成为驱动新业务的快速通道。数据API不仅仅是技术性的连接，更是代表业务增长、能力构建和资产沉淀。未来，所有的功能、数据和服务都会以API的形式提供出来（例如近两年的各类中台概念也是如此），数据API成为企业连接“万物”的核心载体。