No es recomendable implementar ningún tipo de seguridad, esto simplemente agrega complejidad a nuestra API.

No es tan importante, el desarrollador puede seleccionar si implementar o no la seguridad, esta decisión no tiene gran impacto en el funcionamiento de la API.

Es importante porque las empresas hacen uso de estas para conectar servicios y transferir datos, por lo que una API hackeada puede conducir a una violación de datos.

Es importante porque sin contar con una implementación de seguridad, una API no funciona.

Solo se ocupa de la autorización de acceso a recursos, los recursos a los cuales no se tenga acceso, no estarán disponibles. La autenticación no es parte de la seguridad de una API.

Solo se ocupa de la autenticación de identidad de usuarios, para saber si un usuario identificado tiene acceso a un API.

También se ocupa de cuestiones de seguridad, como la validación de contenidos, el control de acceso, la limitación de la velocidad, la supervisión y el análisis, el throttling, la seguridad de los datos y la seguridad basada en la identidad

Hoy día se están centrando en la seguridad de las APIs.

Los ciberataques no toman en cuenta las APIs, hoy dia las APIs no están lo suficientemente presentes para ser un objetivo de ataque.

Se ataca un endpoint con numerosas solicitudes.

Se inyecta código malicioso en el software.

Los mensajes son interceptados, pudiendo dar lugar a que sean alterados, o que información sensible sea expuesta.

Se roban los datos de autenticación de los usuarios para realizar acciones maliciosas.

Suele realizarse cuando los mensajes están en formato XML.

Suele realizarse cuando la transmisión de mensajes está encriptada.

Suele realizarse cuando la transmisión de mensajes no está encriptada ni firmada.

Suele realizarse cuando los mensajes están en formato JSON.

Se ataca un endpoint con numerosas solicitudes.

Los mensajes son interceptados, pudiendo dar lugar a que sean alterados, o que información sensible sea expuesta.

Se roban los datos de autenticación de los usuarios para realizar acciones maliciosas.

Se inyecta código malicioso en el software.

La API no cuenta con un sistema de autenticación.

El formato de intercambio de mensajes es JSON y/o XML.

La transmisión de los mensajes no está encriptada.

El código está mal desarrollado, no realizando un correcto control de tipos de datos.