互联网、云计算、移动化、物联网等新技术的发展正在深入地改变着企业在市场上的业务形态，众多传统产业龙头都在搭建能力开放平台，通过将传统业务系统的业务能力逐步有序地对外开放，实现内部业务能力对内、外部渠道的共享，支持业务能力持续创新。在构建能力开发平台的过程中，一个最敏感的主题就是能力开放平台如何定义和适配企业 IT 系统的边界，API 网关充当用于管理内部用户及应用资产、安全地暴露 API 给内、外部调用者并与后台服务、周边系统（例如：计费、身份管理、网络安全管理等）进行整合的控制点。Oracle 在架构设计、部署和全球实际使用 API 网关方面有众多的成功案例。本次演讲主要从 API 网关的安全性需求出发，通过以下几个方面进行介绍 API 网关的一些最佳安全实践：

1. 客户的痛点，API 网关对整个业务系统安全性的意义，与周边系统的整合关系；
   · API 网关在安全实践上的需求及意义，特别与网络安全设备、后台应用系统或 ESB 的分工协作
2. 实际使用 API 网关时经常面临的一些安全挑战与应对；
   · 除了协议适配与转换、基于内容的路由服务、版本控制、计费整合、统计报表等传统功能，API网关在实践中经常需要面对的安全威胁与应对。例如：在内容过滤（个性化的报文大小限制、格式校验、数据校验、XML 深度限制、敏感数据扫描、防 SQL 注入攻击等）、签名/验签、加密/解密、基于内容/身份/ API 的集群综合流量控制、集中化安全审计等
   · API 网关与统一认证系统、细粒度授权管理等系统的整合关系。特别是外置化的、基于上下文的细颗粒度动态授权需求，是一个业界的新趋势
3.  除了 API 网关，API 平台上的其他组件的安全需求与应对。

听众受益

1. 通过案例了解 API 网关在各个行业中的不同安全性需求及作用；
2. API 网关对整个业务系统安全性的意义，了解 API 网关如何与周边系统配合、满足整体安全性要求。