Очень вводный доклад про то, что надо хоть немного думать о безопасности API. В основном состоит из показательных примеров, как не надо делать, но ничего космического, топ-10 OWASP.

Некоторые интересные идеи:

  • Делать все проверки не только на бэке (где они обязательны), но и на клиенте. Если какой-то запрос вызвал ошибку бэка, то это либо баг фронта, либо кто-то пытается ломать API.
  • Явно помечать публичные API, чтобы не гадать ничего (“явное лучше неявного”).
  • Вынести проверку авторизации в отдельный слой, чтобы не дублировать код и мониторить изменения политик.

В конце докладчик немного прошелся по токенам (упомянув убогость JWT) и гейтвеи.