O que é segurança de API? Principais tipos e casos de uso

As APIs (Interfaces de Programação de Aplicativos) são fundamentais para o desenvolvimento de aplicativos modernos, pois facilitam a capacidade dos aplicativos de se comunicarem e trocarem dados com outros aplicativos, serviços ou plataformas. Eles permitem que as empresas se integrem facilmente com plataformas externas e serviços de terceiros e criem soluções abrangentes conectando vários componentes. Isso promove uma abordagem modular ao desenvolvimento de aplicativos que permite aos desenvolvedores aproveitar serviços e funcionalidades existentes, promover a reutilização de código, acelerar os ciclos de desenvolvimento e aumentar a produtividade. As APIs são a base dos aplicativos modernos, dada sua capacidade de desacoplar e descentralizar a lógica de negócios, e são o mecanismo usado para evoluir aplicativos tradicionais para arquiteturas baseadas em API. 

Assim como acontece com quase todos os outros aspectos da computação, a tecnologia de API mudou nos últimos 25 anos, à medida que os desenvolvedores buscavam maneiras de melhorar o desempenho e a confiabilidade. Tanto a filosofia de design quanto a representação de dados das APIs evoluíram e, junto com elas, a maneira como os dados e o tráfego são protegidos. A linha do tempo das arquiteturas de API populares pode ser vista aproximadamente da seguinte forma:

• APIs SOAP (1998-2010). As APIs do Simple Objects Access Protocol (SOAP) usam assinaturas digitais e criptografia de dados formatados em XML para aplicar segurança no nível da mensagem. A segurança no nível de mensagem é geralmente mais abrangente do que a segurança em um estilo arquitetônico de API REST (abaixo). No entanto, embora elogiada por sua portabilidade, a segurança em nível de mensagem agora só é vista em serviços web legados.
• APIs REST (2010-agora). Na última década, a transferência de estado representacional ( REST ) se tornou o estilo arquitetônico mais popular para APIs. Hoje em dia, a maioria das APIs da web são APIs REST. No REST, os recursos são identificados por URIs HTTP exclusivos e as regras de controle de acesso são baseadas em uma combinação entre o verbo HTTP e o URI HTTP.
• APIs GraphQL (2020-futuro) GraphQL é uma linguagem de consulta emergente para APIs. Ele coloca os desenvolvedores front-end no controle, permitindo que eles personalizem suas consultas de API da maneira que melhor funciona para seus aplicativos. Todos os recursos são acessados por meio de um único URI. Devido a essa flexibilidade e controle, o GraphQL está se tornando cada vez mais popular.

As APIs podem ser categorizadas em vários tipos com base em sua acessibilidade, uso e público-alvo.

• APIs privadas , também conhecidas como APIs internas, são desenvolvidas e mantidas por uma organização para seu próprio uso interno e são usadas para permitir a comunicação entre diferentes componentes ou serviços dentro da infraestrutura de uma organização. APIs privadas não se destinam ao uso por desenvolvedores externos.
• APIs públicas são projetadas para fornecer acesso a determinados recursos ou dados de um serviço, plataforma ou aplicativo e são disponibilizadas para desenvolvedores externos, aplicativos de software de terceiros e o público em geral. APIs públicas são frequentemente usadas para estender a funcionalidade de um produto ou serviço e incentivar desenvolvedores terceirizados a criar aplicativos ou integrações.
• APIs de parceiros são um subconjunto de APIs públicas cujo uso é restrito a parceiros, afiliados, clientes ou colaboradores B2B (business-to-business) específicos de uma organização para fornecer acesso controlado a determinados recursos ou dados. O acesso a essas APIs geralmente é concedido por meio de mecanismos de autenticação e autorização.
• APIs de terceiros são desenvolvidas por organizações ou indivíduos externos para fornecer funcionalidades que podem ser integradas a outros aplicativos. Essas APIs permitem que os desenvolvedores acessem serviços externos, bibliotecas ou fontes de dados para aprimorar seus próprios aplicativos e são amplamente utilizadas no desenvolvimento de software para economizar tempo e esforço aproveitando serviços ou funcionalidades existentes. Exemplos de APIs de terceiros incluem APIs de mapeamento que exibem mapas personalizados ou APIs meteorológicas que mostram previsões locais em páginas da web de viagens ou turismo.

As APIs também expandem a superfície de risco e introduzem especificamente riscos imprevistos devido à natureza de suas interdependências entre arquiteturas de múltiplas nuvens. Isso é conhecido como proliferação de API e pode representar uma ameaça extrema à segurança do seu ecossistema de API. Assim como os aplicativos da web, as APIs são suscetíveis a explorações de vulnerabilidades, abuso de ameaças automatizadas, negação de serviço, configuração incorreta e ataques que ignoram os controles de autenticação e autorização.

A crescente adoção de arquiteturas modernas de microsserviços pode agravar a dispersão de APIs, porque essas arquiteturas usam um grande número de APIs para comunicação tanto com interfaces (tráfego norte-sul) quanto entre microsserviços (tráfego leste-oeste).

As táticas para combater a proliferação de APIs incluem:

• Implementando uma estratégia de governança de API
• Criando uma única fonte de verdade para descoberta de API
• Garantir o controle de versão e a documentação adequados
• Fornecendo métricas e visibilidade no tráfego da API
• Aplicando segurança de API em escala

Para se aprofundar nessas táticas e como implementá-las, leia 5 maneiras de combater a proliferação de APIs (e por que você deve se importar) .

Por natureza, as APIs expõem lógica empresarial crítica e informações confidenciais, como dados do usuário, credenciais de autenticação e transações financeiras, e têm se tornado cada vez mais um alvo para invasores; em particular, as funções de login, criação de conta, adição ao carrinho e transferência de dinheiro. As APIs podem se tornar pontos de entrada para invasores que buscam explorar vulnerabilidades ou fraquezas, ou expor infraestrutura e recursos subjacentes.   

Autenticação e autorização são elementos fundamentais da segurança da API. A autenticação envolve a verificação da identidade de usuários ou sistemas que tentam acessar uma API, garantindo que a entidade que faz a solicitação é quem afirma ser. Os métodos comuns de autenticação incluem nome de usuário/senha, chaves de API, tokens e biometria. A autorização determina quais ações um usuário ou sistema autenticado tem permissão para executar dentro da API. Isso envolve definir regras de controle de acesso, funções e permissões. O controle de acesso baseado em função (RBAC) e o controle de acesso baseado em atributo (ABAC) são modelos de autorização comumente usados. Ao aplicar verificações de autorização adequadas, as organizações podem garantir que clientes autenticados tenham as permissões necessárias para acessar recursos específicos ou executar determinadas ações. Controles de acesso granulares podem limitar o acesso a pontos de extremidade ou dados de API confidenciais, bem como a objetos e funções relevantes.

Os protocolos de autorização aberta (OAuth) são um componente essencial de práticas fortes de autenticação e autorização. O OAuth elimina a necessidade de os usuários compartilharem seus nomes de usuário e senhas diretamente com aplicativos de terceiros. Em vez disso, o OAuth concede tokens de acesso que representam permissões limitadas e com escopo definido, reduzindo o risco de roubo e uso indevido de credenciais. Ele permite que os provedores de API definam controles de acesso detalhados por meio de escopos e permissões, garantindo que aplicativos de terceiros possam acessar apenas os recursos e ações específicos autorizados pelo usuário, reduzindo o risco de acesso não autorizado.

A implementação inadequada de mecanismos de autenticação e autorização pode levar a diversas ameaças à segurança de API, incluindo:

Autorização em nível de objeto quebrado. Essa vulnerabilidade de segurança ocorre quando um aplicativo não consegue aplicar adequadamente os controles de acesso no nível de objeto ou de dados, permitindo que um invasor manipule ou ignore as verificações de autorização e conceda acesso não autorizado a objetos ou dados específicos dentro de um aplicativo. Cada ponto de extremidade da API que recebe uma ID de um objeto e executa qualquer ação no objeto deve implementar verificações de autorização em nível de objeto para validar se o usuário conectado tem permissões para executar a ação solicitada no objeto solicitado. 

Autenticação quebrada . Os mecanismos de autenticação em uma API geralmente são implementados incorretamente, permitindo que invasores obtenham acesso não autorizado a contas de usuários ou dados confidenciais, ou executem ações não autorizadas. 

Autorização de nível de propriedade de objeto quebrado. Essa ameaça ocorre quando uma API falha em aplicar adequadamente os controles de acesso e as verificações de autorização no nível de propriedade do objeto. Um ponto de extremidade de API fica vulnerável a esses ataques se ele expõe propriedades de um objeto que são consideradas confidenciais e não devem ser lidas pelo usuário, uma exploração às vezes chamada de exposição excessiva de dados . Um ponto de extremidade de API também é vulnerável a esses ataques se permitir que um usuário altere, adicione ou exclua o valor de uma propriedade de objeto confidencial, uma exploração às vezes chamada de atribuição em massa .

• Autorização de nível de função quebrada. Essa ameaça ocorre quando uma API falha em aplicar adequadamente as verificações de autorização no nível de função ou operação, permitindo que invasores acessem funcionalidades não autorizadas. Implementar verificações de autorização adequadas pode ser confuso, pois os aplicativos modernos podem definir muitos tipos de funções e grupos funcionais e envolver hierarquias de usuários complexas, que os invasores podem manipular. 
• Acesso irrestrito a fluxos comerciais confidenciais. Este ataque ocorre quando uma API não possui controles de acesso adequados ou verificações de autorização, permitindo que invasores automatizem o acesso a fluxos comerciais confidenciais apoiados pela API. Os invasores geralmente reestruturam seus ataques usando kits de ferramentas de automação sofisticados e podem mudar para atingir a lógica comercial por trás das APIs se os aplicativos da web do alvo estiverem adequadamente protegidos por defesas antiautomação.  

JSON Web Tokens (JWT) são um método de padrões abertos para transferência de dados entre duas partes de forma compacta, independente e segura. JWTs são amplamente utilizados para autenticação e autorização baseadas em tokens. Os JWTs permitem que o usuário ou cliente prove sua identidade e autorização ao servidor de API sem a necessidade de enviar credenciais repetidamente (por exemplo, nome de usuário e senha) com cada solicitação, o que evita a exposição de informações confidenciais na rede. Essa abordagem baseada em tokens aumenta a segurança ao minimizar a janela de exposição para possíveis ataques, como sequestro de sessão. Os JWTs podem ser revogados e incluir um tempo de expiração, após o qual se tornam inválidos. Isso atenua o risco de os tokens serem válidos indefinidamente. 

A descoberta e validação de JWTs são mecanismos cruciais para verificar a legitimidade dos JWTs e evitar acesso não autorizado ou adulteração. A descoberta de JWT envolve encontrar e confirmar as chaves públicas ou certificados codificados em JSON usados para verificação de JWT, enquanto a validação de JWT garante que o emissor de JWT corresponda ao emissor esperado para a API. Isso ajuda a confirmar que o token veio de uma fonte confiável.

As APIs usam várias técnicas de criptografia para proteger dados transmitidos entre clientes e servidores, garantindo a confidencialidade e a integridade das informações trocadas em trânsito. O principal protocolo de criptografia usado para proteger solicitações e respostas de API é o HTTPS, que é HTTP sobre Secure Sockets Layer (SSL)/Transport Layer Security (TLS), que criptografa dados em trânsito entre o cliente e o servidor, evitando espionagem e adulteração de terceiros mal-intencionados. SSL/TLS usa criptografia assimétrica e simétrica para proteger a confidencialidade e a integridade dos dados em trânsito. A criptografia assimétrica é usada para estabelecer uma sessão segura entre um cliente e um servidor, e a criptografia simétrica é usada para trocar dados dentro da sessão segura. Isso impede que invasores visualizem ou adulterem dados trocados entre dois nós, neste caso entre um cliente e um servidor de API. 

No entanto, fornecer criptografia de ponta a ponta para tráfego "Leste-Oeste", que se refere a chamadas de API de máquina para máquina dentro de uma rede ou entre diferentes serviços ou componentes dentro da infraestrutura de uma organização, pode ser desafiador, pois requer a geração, distribuição e gerenciamento de múltiplas chaves de criptografia. Garantir que as chaves certas estejam disponíveis no momento certo para todos os componentes de comunicação é complexo, especialmente em ambientes de grande escala, e pode introduzir latência e limitar a escalabilidade das implementações de criptografia de ponta a ponta. 

A validação e a higienização de entradas ajudam a garantir que os dados recebidos de fontes externas, como entradas de usuários ou APIs, sejam seguros, confiáveis e livres de conteúdo malicioso, ajudando a prevenir ataques de injeção e outras explorações. As regras de validação definem o que é considerado dado válido. Essas regras podem incluir verificações de tipo de dados (por exemplo, numérico, alfabético, formato de e-mail), restrições de comprimento, requisitos de formato e lógica comercial personalizada. Se a validação de entrada falhar (ou seja, os dados não atenderem aos critérios definidos), o aplicativo rejeitará a entrada, impedindo que ela seja processada posteriormente. 

A higienização de entrada é o processo de limpeza ou filtragem de dados para remover ou neutralizar conteúdo potencialmente prejudicial ou malicioso. A validação e a higienização de entradas ajudam a proteger os sistemas contra uma série de ataques, especialmente ataques de injeção. Elas ocorrem quando invasores inserem dados não confiáveis ou hostis em linguagens de comando ou consulta, ou quando dados fornecidos pelo usuário não são validados, filtrados ou higienizados pelo aplicativo, levando à execução de comandos maliciosos. Os ataques de injeção incluem NoSQL, comando do sistema operacional, LDAP e ataques de injeção de SQL , além de Cross-Site Scripting (XSS) , no qual os invasores injetam scripts maliciosos do lado do cliente, como JavaScript, em páginas da web visualizadas por outros usuários.

Esses mecanismos controlam a taxa na qual os clientes podem fazer solicitações à API, evitando abuso ou uso excessivo da API, evitando o consumo excessivo de recursos e protegendo a API de possíveis ataques de negação de serviço (DoS).

Trilhas de auditoria e logs fornecem visibilidade das atividades da API capturando informações detalhadas sobre solicitações e respostas da API, incluindo quem iniciou a solicitação, quais endpoints foram acessados e quando as solicitações ocorreram. Ao analisar logs, as equipes de segurança podem detectar padrões incomuns ou suspeitos de atividade de API, como repetidas tentativas de login com falha, acesso inesperado a dados ou picos de tráfego anormais. Essas anomalias podem ser indicativas de incidentes de segurança, como tentativas de invasão ou violações de dados. No caso de uma violação de segurança ou atividade suspeita, trilhas de auditoria e registros também servem como fontes valiosas de dados forenses. 

Projetar APIs seguras requer controles de segurança robustos, incluindo a implementação de mecanismos de autenticação fortes para verificar a identidade de usuários e sistemas que interagem com a API. Use controles de autorização para definir e impor direitos de acesso, garantindo que apenas entidades autorizadas possam executar ações específicas. Siga o princípio do menor privilégio concedendo aos usuários e sistemas as permissões mínimas necessárias para executar suas tarefas. Evite privilégios excessivos, pois eles podem levar ao uso indevido ou exploração da API. Use criptografia forte, como SSL/TLS, para proteger os dados transmitidos pela rede. Valide e higienize todas as informações recebidas de clientes e outras fontes para evitar vulnerabilidades de segurança comuns, como ataques de injeção.

Além disso, é fundamental proteger as APIs contra ataques de vulnerabilidade. Isso inclui gerenciamento regular de patches para manter todas as dependências de API, bibliotecas e estruturas atualizadas para corrigir fraquezas de segurança conhecidas. Para mitigar o risco de ataques DDoS, é importante implementar mecanismos de limitação de taxa e limitação para restringir o número de solicitações que podem ser feitas dentro de um período de tempo especificado. O abuso da lógica de negócios também é uma vulnerabilidade significativa para a segurança da API. Esses ataques aproveitam a lógica e os processos subjacentes de um aplicativo para atingir objetivos maliciosos. Por exemplo, invasores podem manipular a lógica de negócios de uma API para obter acesso não autorizado a funcionalidades ou recursos específicos, ou exfiltrar dados confidenciais. Controles de acesso e mecanismos de autorização rigorosos podem ajudar a garantir que somente usuários autorizados possam acessar funções específicas de lógica de negócios da API.

Em geral, siga o “princípio do menor espanto”, ou seja, ao projetar APIs, escolha métodos e convenções que sejam os menos surpreendentes ou espantosos para o usuário ou desenvolvedor. Os usuários da API devem ter uma compreensão clara de como os recursos de segurança funcionam e o que se espera deles. Os usuários têm menos probabilidade de cometer erros ou entender mal os recursos de segurança quando eles estão alinhados às suas expectativas e às práticas estabelecidas do setor.

Os sistemas de detecção de tempo de execução empregam aprendizado de máquina e análise comportamental para estabelecer uma linha de base do comportamento normal da API e fornecer alertas quando o sistema detecta desvios dessa linha de base. Essas anomalias podem incluir padrões incomuns de solicitações de API, fluxos de dados inesperados e tentativas de acesso não autorizado. O objetivo da detecção em tempo de execução é identificar e responder a ameaças e vulnerabilidades de segurança conforme elas acontecem em tempo real, em vez de depender de medidas de segurança estáticas aplicadas durante o desenvolvimento ou a implantação.

Os gateways de API funcionam como uma camada protetora em um ecossistema de API, fornecendo um ponto centralizado de controle, segurança e gerenciamento para o tráfego de API. Eles atuam como uma camada de segurança e gerenciamento que protege a infraestrutura de API subjacente de muitas ameaças e desafios operacionais comuns, incluindo a aplicação de políticas de autenticação e autorização, além de filtragem de tráfego, limitação de taxa e limitação para evitar abuso de API. Como os gateways de API capturam logs detalhados do tráfego e das atividades da API, eles também fornecem recursos de registro e monitoramento em tempo real, o que pode ser essencial para auditoria ou investigação de incidentes. 

CORS é um conjunto de políticas de segurança implementadas por navegadores da web para controlar e gerenciar solicitações de origem cruzada (ou seja, entre diferentes domínios ou origens) feitas por aplicativos da web usando tecnologias do lado do cliente, como JavaScript. O CORS funciona impondo um conjunto de cabeçalhos HTTP que controlam como um servidor web deve responder a solicitações de origem cruzada. O CORS é essencial para garantir a segurança da web e, ao mesmo tempo, permitir que páginas da web solicitem e interajam com recursos de APIs, serviços da web ou ativos hospedados em outros domínios.

Ao proteger APIs para exposição na Internet, certifique-se de usar políticas CORS para controlar quais domínios têm permissão para acessar a API, garantindo que somente domínios confiáveis possam acessar recursos protegidos. Evite configurações excessivamente permissivas que exponham a API a ataques de falsificação de solicitação entre sites (CSRF) e outros riscos de segurança.

Testes regulares, monitoramento e aplicação de patches de software são componentes essenciais de uma estratégia proativa de segurança de API. As áreas de foco do monitoramento contínuo devem incluir varredura de vulnerabilidades programada e testes de penetração para ajudar a identificar fraquezas, vulnerabilidades e configurações incorretas na API, enquanto a análise de código estático e os testes de segurança de aplicativo dinâmico (DAST) avaliam a base de código da API e o comportamento do tempo de execução em busca de fraquezas de segurança. Atualize regularmente os componentes de software usados na pilha de API, incluindo sistemas operacionais, servidores web, bibliotecas e estruturas, para abordar vulnerabilidades conhecidas, pois softwares sem patches podem ser o principal alvo dos invasores.

A segurança robusta da API é essencial para empresas de comércio eletrônico e plataformas de gateway de pagamento devido ao volume de dados confidenciais e transações financeiras que elas processam. As empresas de comércio eletrônico empregam APIs na maioria dos pontos de contato com o cliente, incluindo login, pesquisa e exibição de produtos, carrinhos de compras, estimativas de custos de envio e processamento de pagamentos. Além disso, as APIs também capacitam as empresas a melhorar as experiências dos clientes, desde recomendar novas compras para clientes anteriores, rastrear avaliações e classificações até interações com chatbots. 

Como as APIs servem como ponte entre aplicativos móveis e vários serviços, fontes de dados e plataformas de terceiros, a segurança da API é extremamente importante para a integração de aplicativos móveis. Os aplicativos móveis geralmente precisam trocar dados com servidores de back-end ou serviços externos por meio de APIs, que fornecem uma maneira estruturada para os aplicativos solicitarem e receberem dados. Garantir a interação segura de aplicativos móveis com APIs é essencial para evitar violações de segurança, proteger controles de autenticação e acesso e manter a postura geral de segurança do aplicativo e dos sistemas conectados.

Os dados de assistência médica geralmente incluem informações confidenciais e sensíveis do paciente, como registros médicos, diagnósticos, planos de tratamento e detalhes de cobrança, e as APIs facilitam o compartilhamento de informações confidenciais do paciente entre provedores de assistência médica, pagadores e outras partes interessadas. Garantir a segurança dessas APIs é crucial para proteger a privacidade do paciente, cumprir as regulamentações de saúde (como a HIPAA nos EUA) e manter a integridade dos dados de saúde.

A segurança robusta da API é um requisito fundamental para garantir a confidencialidade, integridade e disponibilidade dos dados de serviços financeiros e a operação de soluções bancárias abertas. A segurança da API não só desempenha um papel central na viabilização da troca segura de dados financeiros entre diferentes instituições financeiras, provedores de pagamento e empresas de tecnologia financeira, como também ajuda a garantir a conformidade com os requisitos de criptografia de dados e controle de acesso exigidos por regulamentações como a Payment Services Directive 2 na UE e PCI DSS nos EUA. Além disso, a segurança da API desempenha um papel fundamental na prevenção de fraudes e na proteção de integrações de terceiros que impulsionam iniciativas de open banking.  

A segurança da API é um elemento essencial da IoT, garantindo que dispositivos, aplicativos e serviços de IoT possam se comunicar com segurança, proteger dados e manter a integridade de todo o ecossistema. Os dispositivos de IoT se comunicam entre si, com gateways de ponta e plataformas de nuvem por meio de APIs. A segurança da API garante que os dados trocados entre dispositivos e outros componentes do ecossistema permaneçam confidenciais, autenticados e protegidos contra acesso não autorizado. As redes de IoT também costumam incluir um grande número de dispositivos com identidades exclusivas, e a segurança de API pode fornecer gerenciamento de identidade de dispositivo para manter a integridade das identidades dos dispositivos e evitar representação falsa ou acesso não autorizado. Os ecossistemas de IoT também exigem a capacidade de gerenciar a integração, o provisionamento, as atualizações e o descomissionamento seguro de dispositivos, e a segurança da API pode ajudar a dar suporte ao gerenciamento de todo o ciclo de vida do dispositivo, incluindo atualizações seguras de firmware.

O vasto poder de processamento da IA e do ML está pronto para transformar a segurança da API de maneiras fundamentais. Modelos de aprendizado de máquina podem criar linhas de base de padrões normais de uso de API, e desvios dessas linhas de base e outras anomalias podem acionar alertas ou respostas automatizadas, ajudando a prevenir possíveis violações de segurança. A IA também pode identificar padrões de ataque complexos e vulnerabilidades de dia zero que sistemas tradicionais baseados em regras podem não detectar. Os sistemas de IA estão cada vez mais inteligentes, adaptando-se e evoluindo em resposta a ameaças em constante mudança, tornando-os mais eficazes no combate a ataques novos e sofisticados, com o potencial de prever possíveis ameaças à segurança com base em dados históricos e tendências emergentes. Essa abordagem proativa permitiria que as equipes de segurança abordassem vulnerabilidades antes que elas fossem exploradas.

O modelo Zero Trust defende o princípio de “nunca confiar, sempre verificar” e, quando aplicado à segurança de API, significa tratar os pontos de extremidade e serviços de API como entidades separadas que exigem autenticação e autorização para cada solicitação. O Zero Trust pressupõe que nenhuma entidade, seja dentro ou fora da rede, deve ser confiável por padrão, e o acesso aos recursos deve ser concedido conforme a necessidade. Envolve a implementação do princípio do menor privilégio para acesso à API, que concede apenas permissões necessárias para tarefas ou funções específicas e revisa e atualiza regularmente as permissões de acesso com base em requisitos de mudança. O Zero Trust impõe a verificação contínua de dispositivos, usuários e aplicativos, mesmo após o acesso inicial ser concedido, e reavalia os níveis de confiança com base no comportamento e na conformidade do dispositivo.

A principal característica do blockchain é a imutabilidade dos dados quando adicionados ao blockchain. Isso garante que os dados acessados por meio de APIs sejam à prova de violação, tornando praticamente impossível que agentes mal-intencionados alterem os dados sem serem detectados. O blockchain também pode tokenizar ativos, direitos de acesso ou credenciais, que podem ser usados para gerenciar e controlar o acesso a APIs, simplificando o gerenciamento do controle de acesso. As APIs podem usar contratos inteligentes para impor políticas de controle de acesso, garantindo que somente usuários ou aplicativos autorizados possam interagir com recursos específicos da API. Ao descentralizar dados e transações, o blockchain reduz a dependência de pontos únicos de falha, como servidores ou bancos de dados centralizados. Isso torna mais difícil para invasores comprometer a segurança da API.