API 提供的接口不像 web form 可以做各種驗證和保護,所以在安全性的設計上不完全相同。
以 Rails 來說,很多安全的防護機制都已經預先做好,例如 cors token 等等,這些是 API 接口無法直接使用的。
所以 API 的安全性需要額外考慮進去,畢竟這過程中可能帶有相當機密性的資訊是不能被洩漏的。
設計時避免再造輪子,業界已經有相當的規範可以參考,除非特殊需求,否則這裡建議參照清單去做最後的上線前確認
shieldfy/API-Security-Checklist