OWASP API安全Top10揭示API面临的核心风险:身份认证失效(Token不可信)、过度暴露字段(BOLA/BOPLA失效)、功能调用越权(BFLA)、资源滥用(如分页拖垮)、敏感流程被自动化滥用(刷券/注册)、SSRF漏洞、配置错误(如CORS过宽)及API清单管理疏漏。防护需做到:服务端校验身份与权限(不信任客户端输入)、查询后强制归属校验、DTO字段白名单控制、综合限流(IP+用户Behavior)、外部数据校验与熔断、API资产全生命周期监控。常见误区包括认为WAF可替代业务授权、忽略注入类基础漏洞防护。重点应围绕用户/权限/数据/接口/频率/依赖六个维度,将授权验证、字段过滤、限流、清单治理融入设计编码测试全流程。