对于Web应用程序安全，您应该看看OWASP(https://www.owasp.org/index.php/Main_Page)它为各种安全攻击提供了欺骗单。您可以采用尽可能多的措施来保护您的应用程序。关于API安全（授权、身份验证、身份管理），有多种方式（基本、摘要和OAuth）。OAuth1.0中存在循环漏洞，因此可以使用OAuth1.0a（由于对规范的担忧，OAuth2.0没有被广泛采用）

我有点惊讶的是，还没有提到带有客户端证书的SSL。当然，只有当您能够依靠证书识别用户群体时，这种方法才真正有用。但许多政府/公司确实向其用户发放了这些证书。用户不必担心创建另一个用户名/密码组合，并且在每个连接上都建立了身份，因此与服务器的通信可以完全无状态，不需要用户会话。（并非意味着所提及的任何/所有其他解决方案都需要会议）

因为@Nathan最后得到了一个简单的HTTP Header，有些人说OAuth2和客户端SSL证书。其要点是。。。您的RESTAPI不应该处理安全性，因为这确实超出了API的范围。

相反，无论是web代理后面的HTTP头（一种常见的方法，如SiteMinder、Zermatt甚至Apache HTTPd），还是像OAuth 2一样复杂，都应该在其上面设置一个安全层。

关键是请求应该在没有任何最终用户交互的情况下工作。所需要的就是确保与RESTAPI的连接经过身份验证。在JavaEE中，我们有一个userPrincipal的概念，它可以在HttpServletRequest上获得。它也在部署描述符中管理，URL模式可以是安全的，因此RESTAPI代码不再需要检查。

在WCF世界中，我将使用ServiceSecurityContext.Current获取当前安全上下文。您需要将应用程序配置为需要身份验证。

我上面的声明有一个例外，那就是使用随机数来防止重放（可能是攻击，也可能是某人提交了两次相同的数据）。该部分只能在应用程序层中处理。

我使用了OAuth几次，也使用了一些其他方法（BASIC/DIGEST）。我衷心建议OAuth。以下链接是我见过的关于使用OAuth的最佳教程：

http://hueniverse.com/oauth/guide/

SOAP世界被安全标准覆盖得很好，这并不意味着默认情况下它是安全的。首先，标准非常复杂。复杂性不是安全性的好朋友，实现漏洞（如XML签名包装攻击）在这里很常见。

至于.NET环境，我不会有太大帮助，但“用Java构建web服务”（一个有约10位作者的砖）确实帮助我理解了WS-*安全体系结构，尤其是它的怪癖。

Github上有一个很棒的清单：

身份验证

不要在身份验证、令牌生成和密码存储方面另起炉灶。使用标准。使用登录中的最大重试和监禁功能。对所有敏感数据使用加密。

JWT（JSON Web令牌）

使用随机复杂密钥（JWT Secret）使暴力强制令牌变得非常困难。不要从有效载荷中提取算法。在后端强制算法（HS256或RS256）。使令牌过期（TTL、RTTL）尽可能短。不要将敏感数据存储在JWT有效载荷中，它很容易被解码。

OAuth（身份验证）

始终验证redirect_uri服务器端，以仅允许白名单URL。始终尝试交换代码而不是令牌（不允许response_type=token）。使用带有随机哈希的状态参数来防止OAuth身份验证过程中的CSRF。定义默认范围，并验证每个应用程序的范围参数。

通道

限制请求（限制）以避免DDoS/暴力攻击。在服务器端使用HTTPS以避免MITM（中间人攻击）将HSTS标头与SSL一起使用以避免SSL Strip攻击。

输入

根据操作使用正确的HTTP方法：GET（读取）、POST（创建）、PUT/PATCH（替换/更新）和DELETE（删除记录），如果请求的方法不适合请求的资源，则使用405 method Not Allowed（不允许方法）进行响应。验证请求的内容类型Accept标头（content Negotiation），以仅允许您支持的格式（例如application/xml、application/json等），如果不匹配，则使用406 Not Acceptable响应进行响应。按您接受的方式验证发布数据的内容类型（例如application/x-wwww-form-urlencoded、multipart/form-data、application/json等）。验证用户输入以避免常见漏洞（例如XSS、SQL注入、远程代码执行等）。不要在URL中使用任何敏感数据（凭据、密码、安全令牌或API密钥），而是使用标准的授权标头。使用API网关服务启用缓存、速率限制策略（例如配额、峰值阻止、并发速率限制）并动态部署API资源。

处理

检查所有端点是否在身份验证后受到保护，以避免身份验证过程中断。应避免使用用户自己的资源ID。使用/me/orders而不是/user/654321/orders。不要自动增加ID。请改用UUID。如果您正在解析XML文件，请确保未启用实体解析以避免XXE（XML外部实体攻击）。如果您正在解析XML文件，请确保未启用实体扩展，以避免通过指数级实体扩展攻击造成Billion Laughs/XML爆炸。使用CDN进行文件上载。如果您正在处理大量数据，请使用Workers和Queues在后台处理尽可能多的数据，并快速返回响应以避免HTTP阻塞。不要忘记关闭调试模式。

输出

发送X-Content-Type-Options:nosniff标头。发送X-Frame-Options：拒绝标头。发送内容安全策略：默认src“none”标头。删除指纹标头-X-Powered-By、Server、X-AspNet-Version等。强制响应的内容类型，如果返回application/json，则响应内容类型为application/json。不要返回敏感数据，如凭据、密码和安全令牌。根据完成的操作返回正确的状态代码。（例如200 OK、400 Bad Request、401 Unauthorized、405 Method Not Allowed等）。