C#中的API安全實踐開發指南

概述： 強大的 API 安全性的重要性怎麽強調都不為過。在這個網路威脅猖獗的時代，保護我們的 API 端點不僅是必需品，也是我們的責任。讓我們剖析這些關鍵的安全措施，並巧妙地實施它們。讓我們討論以下 12 個主題，以使我們的 API 更安全：使用 HTTPS 🔒使用 OAuth2 🔐使用速率限制 🚦使用 API 版本控制 🌀輸入驗證 ✅使用分級 API 金鑰 🗝️授權 🔐白名單 ✅OWASP API 安全風險 🔍使用 API 閘道器 🌉錯誤處理 🚨輸入驗證 🛡️1️⃣ 使用 HTTPS 🔒問題陳述：您的 API 透過 Internet 傳輸敏感數據，並且當前使用不安全的 HTTP。

強大的 API 安全性的重要性怎麽強調都不為過。在這個網路威脅猖獗的時代，保護我們的 API 端點不僅是必需品，也是我們的責任。讓我們剖析這些關鍵的安全措施，並巧妙地實施它們。

讓我們討論以下 12 個主題，以使我們的 API 更安全：

1. 使用 HTTPS 🔒

2. 使用 OAuth2 🔐

3. 使用速率限制 🚦

4. 使用 API 版本控制 🌀

5. 輸入驗證 ✅

6. 使用分級 API 金鑰 🗝️

7. 授權 🔐

8. 白名單 ✅

9. OWASP API 安全風險 🔍

10. 使用 API 閘道器 🌉

11. 錯誤處理 🚨

12. 輸入驗證 🛡️

1️⃣ 使用 HTTPS 🔒

問題陳述：您的 API 透過 Internet 傳輸敏感數據，並且當前使用不安全的 HTTP。如何保護傳輸中的數據？

解決方案：實作HTTPS對客戶端和伺服器之間的通訊進行加密。

C# 範例：

public classSecureApiController : ApiController
{
// Use attribute to enforce HTTPS
[RequireHttps]
publicHttpResponseMessageGetSensitiveData()
{
// Fetch sensitive data logic
var sensitiveData = new { /* ... */ };
return Request.CreateResponse(HttpStatusCode.OK, sensitiveData);
}
}
// Custom attribute to enforce HTTPS
public classRequireHttpsAttribute : AuthorizationFilterAttribute
{
publicoverridevoidOnAuthorization(HttpActionContext actionContext)
{
if (actionContext.Request.RequestUri.Scheme != Uri.UriSchemeHttps)
{
actionContext.Response = newHttpResponseMessage(System.Net.HttpStatusCode.Forbidden)
{
ReasonPhrase = "HTTPS Required"
};
}
else
{
base.OnAuthorization(actionContext);
}
}
}

始終使用 HTTPS 來保護客戶端和伺服器之間的通訊。在 ASP.NET Core 中，可以在以下位置強制執行 HTTPS：Startup.cs

publicvoidConfigureServices(IServiceCollection services)
{
services.AddHttpsRedirection(options =>
{
options.RedirectStatusCode = StatusCodes.Status308PermanentRedirect;
options.HttpsPort = 443;
});
}
publicvoidConfigure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseHttpsRedirection();
}

2️⃣ 使用 OAuth2 🔐

問題陳述：您的 API 需要保護提供個人使用者數據的資源伺服器。您需要確保只有經過身份驗證和授權的客戶端才能存取此數據。

解決方案：實作 OAuth2（一種授權協定），以向客戶端提供安全的受限存取令牌。

C# 範例：

// OAuth2 configuration in Startup.cs
publicvoidConfigureAuth(IAppBuilder app)
{
// Configure the application for OAuth based flow
PublicClientId = "self";
OAuthOptions = newOAuthAuthorizationServerOptions
{
TokenEndpointPath = newPathString("/Token"),
Provider = newApplicationOAuthProvider(PublicClientId),
AuthorizeEndpointPath = newPathString("/api/Account/Authorize"),
AccessTokenExpireTimeSpan = TimeSpan.FromDays(14),
// In production mode set AllowInsecureHttp = false
AllowInsecureHttp = true
};
// Enable the application to use bearer tokens to authenticate users
app.UseOAuthBearerTokens(OAuthOptions);
}

實作 OAuth 2.0 授權框架。它支持安全的委托存取，允許客戶端獲取有限的存取令牌來驗證 API 請求。在 ASP.NET Core 中，可以使用 Microsoft Identity 平台：

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddMicrosoftIdentityWebApi(Configuration, "AzureAd");
services.AddAuthorization(options =>
{
options.AddPolicy("RequireAdminRole", policy =>
{
policy.RequireRole("Admin");
});
});

3️⃣ 使用速率限制 🚦

問題陳述：您的 API 流量過大，導致效能下降。您需要實作速率限制來控制流量。

解決方案：使用中介軟體根據 IP、使用者或操作組強制實施速率限制規則。

C# 範例：

// Middleware for rate limiting
public classRateLimitingMiddleware : OwinMiddleware
{
publicRateLimitingMiddleware(OwinMiddleware next) : base(next) { }
publicoverrideasyncTaskInvoke(IOwinContext context)
{
if (RateLimitReached(context))
{
context.Response.StatusCode = (int)HttpStatusCode.TooManyRequests;
return;
}
await Next.Invoke(context);
}
privateboolRateLimitReached(IOwinContext context)
{
// Implement your rate limiting logic here based on the context
// For instance, check the IP address and limit the number of requests per minute
returnfalse;
}
}



實施速率限制以限制客戶端在給定時間視窗內可以發出的請求數。您可以根據客戶端 IP、使用者 ID、API 路由等各種因素定義速率限制。下面是使用 AspNetCoreRateLimit 的範例：

publicvoidConfigureServices(IServiceCollection services)
{
services.AddOptions();
services.AddMemoryCache();
services.Configure\<ClientRateLimitOptions>(options =>
{
options.GeneralRules = new List\<RateLimitRule>
{
newRateLimitRule
{
Endpoint = "\*",
Period = "1m",
Limit = 30,
}
};
});
services.AddSingleton<IClientPolicyStore, MemoryCacheClientPolicyStore>();
services.AddSingleton<IRateLimitCounterStore, MemoryCacheRateLimitCounterStore>();
}
publicvoidConfigure(IApplicationBuilder app)
{
app.UseClientRateLimiting();
}

4️⃣ 使用 API 版本控制 🌀

問題陳述：您的 API 需要在不破壞現有客戶端的情況下進行發展。如何在保持回溯相容性的同時引入新功能？

解決方案：在 API 路由中實作版本控制，以允許客戶端指定它們設計用於使用的版本。

C# 範例：

// Web API Route configuration
publicstatic classWebApiConfig
{
publicstaticvoidRegister(HttpConfiguration config)
{
config.Routes.MapHttpRoute(
name: "VersionedApi",
routeTemplate: "api/v{version}/{controller}/{id}",
defaults: new { id = RouteParameter.Optional }
);
}
}
public classUsersController : ApiController
{
[HttpGet]
publicstringGetV1(int id)
{
// Version 1 specific processing
return"Data from version 1";
}
[HttpGet, Route("api/v2/users/{id}")]
publicstringGetV2(int id)
{
// Version 2 specific processing
return"Data from version 2";
}
}


實施 API 版本控制以保持回溯相容性。在 API 路由中包含版本指示符（如「v1」），也可以在請求/響應檔頭中包含版本指示符。ASP.NET Core 透過軟體包支持此功能：Microsoft.AspNetCore.Mvc.Versioning

services.AddApiVersioning(options =>
{
options.DefaultApiVersion = newApiVersion(1, 0);
options.AssumeDefaultVersionWhenUnspecified = true;
options.ReportApiVersions = true;
options.ApiVersionReader = newUrlSegmentApiVersionReader();
});
[ApiVersion("1.0")]
[Route("api/v{version:apiVersion}/[controller]")]
public classUsersController : ControllerBase
{
// Controller implementation
}

5️⃣ 輸入驗證 ✅

問題：在未經適當驗證的情況下接受來自客戶端的不受信任的輸入可能會引入 SQL 註入或跨站點指令碼 （XSS） 等安全漏洞。

解決方案：始終在伺服器端驗證和清理輸入。使用數據註釋和內容進行基本驗證：[ApiController]

public classLoginModel
{
[Required]
[EmailAddress]
publicstring Email { get; set; }
[Required]
[StringLength(100, MinimumLength = 6)]
publicstring Password { get; set; }
}
[HttpPost("login")]
publicIActionResultLogin([FromBody] LoginModel model)
{
if (!ModelState.IsValid)
{
returnBadRequest(ModelState);
}
// Authenticate user
}



在 API 閘道器級別實作輸入驗證，以確保僅處理有效請求。

public classValidateModelAttribute : ActionFilterAttribute
{
publicoverridevoidOnActionExecuting(HttpActionContext actionContext)
{
if (!actionContext.ModelState.IsValid)
{
actionContext.Response = actionContext.Request.CreateErrorResponse(
HttpStatusCode.BadRequest, actionContext.ModelState);
}
}
}
// Usage in a Controller
public classMyModel
{
[Required]
publicstring Property1 { get; set; }
// Other properties and validation attributes
}
public classMyApiController : ApiController
{
[ValidateModel]
publicIHttpActionResultPost(MyModel model)
{
// Proceed knowing the model is valid
ProcessData(model);
returnOk();
}
privatevoidProcessData(MyModel model)
{
// Processing logic
}
}




6️⃣ 使用分級 API 金鑰 🗝️

問題：對所有客戶端使用單個 API 金鑰無法提供精細控制，也無法根據需要撤銷對特定客戶端的存取許可權。

解決方案：實作具有不同存取許可權的分級 API 金鑰系統。每個客戶端都獲得與特定角色或範圍關聯的唯一金鑰。

public classApiKey
{
publicint Id { get; set; }
publicstring Key { get; set; }
publicstring ClientName { get; set; }
publicList<string> Scopes { get; set; }
}
public classAuthorizationMiddleware
{
privatereadonlyRequestDelegate _next;
publicAuthorizationMiddleware(RequestDelegate next)
{
_next = next;
}
publicasyncTaskInvoke(HttpContext context, IApiKeyRepository apiKeyRepository)
{
string apiKey = context.Request.Headers["X-API-KEY"];
if (apiKey == null)
{
context.Response.StatusCode = 401;
await context.Response.WriteAsync("API key is missing.");
return;
}
ApiKey key = await apiKeyRepository.GetApiKey(apiKey);
if (key == null)
{
context.Response.StatusCode = 401;
await context.Response.WriteAsync("Invalid API key.");
return;
}
if (!key.Scopes.Contains(context.Request.Path.ToString()))
{
context.Response.StatusCode = 403;
await context.Response.WriteAsync("Not authorized to access this resource.");
return;
}
await_next(context);
}
}








實作具有不同存取許可權的分級 API 金鑰。

public classApiKeyHandler : DelegatingHandler
{
protectedoverrideasyncTask<HttpResponseMessage>SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
{
// Validate API key
if (!ValidateApiKey(request.Headers, outvar apiKey))
{
return request.CreateResponse(HttpStatusCode.Forbidden, "Invalid API Key");
}
// Check access level of API key and set user's role
SetUserRoleBasedOnApiKey(apiKey);
// Continue down the pipeline
returnawaitbase.SendAsync(request, cancellationToken);
}
privateboolValidateApiKey(HttpRequestHeaders headers, outstring apiKey)
{
// Logic to validate API key
apiKey = /* ... */;
returntrue;
}
privatevoidSetUserRoleBasedOnApiKey(string apiKey)
{
// Logic to set user role based on API key level
}
}




7️⃣ 授權 🔐

問題：如果沒有適當的授權檢查，經過身份驗證的使用者可能會存取他們不應該被允許存取的資源。

解決方案：在允許請求繼續之前，實作基於角色的存取控制 （RBAC） 並檢查每個 API 端點上的使用者許可權。

[Authorize(Roles = "Admin")]
[HttpDelete("users/{id}")]
publicasyncTask<IActionResult>DeleteUser(int id)
{
// Delete user logic
returnNoContent();
}

在更復雜的場景中，您可能需要實作基於內容的存取控制 （ABAC） 或基於策略的授權。

在 API 中實施授權檢查，以區分使用者的不同存取許可權級別。

[Authorize(Roles = "Admin, Viewer")]
public classDataController : ApiController
{
publicIHttpActionResultGetData()
{
// Only users with role "Admin" or "Viewer" can access data
var data = GetDataFromService();
returnOk(data);
}
[Authorize(Roles = "Admin")]
publicIHttpActionResultUpdateData(MyDataModel model)
{
// Only users with role "Admin" can update data
UpdateDataService(model);
returnOk();
}
// Separate methods to get and update data
privateobjectGetDataFromService() { /*...*/ }
privatevoidUpdateDataService(MyDataModel model) { /*...*/ }
}


8️⃣ 白名單 ✅

問題：某些 API 端點可能設計為僅接受一組有限的預定義參數值。允許任意輸入可使攻擊者繞過驗證或註入惡意數據。

解決方案：使用白名單（或白名單）顯式定義敏感參數的允許值。

[HttpGet("articles")]
publicIActionResultGetArticles([FromQuery] string category)
{
string[] allowedCategories = { "science", "technology", "business" };
if (!allowedCategories.Contains(category))
{
returnBadRequest("Invalid category.");
}
// Fetch and return articles in the specified category
}


實作僅允許來自已知和受信任 IP 地址的請求的 IP 允許列表。

public classIPAllowlistHandler : DelegatingHandler
{
privatereadonlystring[] _trustedIPs;
publicIPAllowlistHandler(string[] trustedIPs)
{
_trustedIPs = trustedIPs ?? thrownewArgumentNullException(nameof(trustedIPs));
}
protectedoverrideTask<HttpResponseMessage>SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
{
var context = ((HttpContextBase)request.Properties["MS_HttpContext"\]);
var requestIP = context.Request.UserHostAddress;
if (!_trustedIPs.Contains(requestIP))
{
return Task.FromResult(request.CreateResponse(HttpStatusCode.Forbidden, "Access denied from this IP address"));
}
returnbase.SendAsync(request, cancellationToken);
}
}




9️⃣ OWASP API 安全風險 🔍

問題陳述：您的 API 受到各種安全威脅和漏洞的影響。您如何確保它們免受 OWASP 辨識的主要安全風險的影響？

解決方案：根據 OWASP API 安全前 10 名列表定期稽核和更新您的 API，該列表詳細說明了 Web 應用程式面臨的最關鍵安全風險。

C# 範例：

// Example of checking for broken user authentication, which is a common OWASP risk
public classAuthenticationMiddleware : OwinMiddleware
{
publicAuthenticationMiddleware(OwinMiddleware next) : base(next) {}
publicoverrideasyncTaskInvoke(IOwinContext context)
{
if (!UserIsAuthenticated(context))
{
context.Response.StatusCode = 401; // Unauthorized
await context.Response.WriteAsync("User authentication failed.");
return;
}
await Next.Invoke(context);
}
privateboolUserIsAuthenticated(IOwinContext context)
{
// Implement your authentication logic here
// Make sure it's in line with OWASP recommendations
returntrue; // Placeholder for actual authentication check
}
}



1️0️⃣ ⃣ 使用 API 閘道器 🌉

問題：隨著微服務和 API 端點數量的增加，管理身份驗證、速率限制和監控等方面可能會變得復雜且容易出錯。

解決方案：使用 API Gateway 作為所有客戶端請求的單一入口點。它可以處理請求路由、組合和協定轉換等常見任務。常用選項包括 Azure API 管理、Amazon API Gateway 或使用 Ocelot 構建自己的 API。

// Configure API Gateway routes
var routes = newList<RouteConfiguration>
{
newRouteConfiguration
{
RouteId = "users-route",
UpstreamPathTemplate = "/api/users/{everything}",
DownstreamPathTemplate = "/api/users/{everything}",
DownstreamScheme = "https",
DownstreamHostAndPorts = newList<DownstreamHostAndPort>
{
newDownstreamHostAndPort
{
Host = "users-service",
Port = 443
}
}
},
// Additional route configurations
};
var config = newOcelotPipelineConfiguration
{
Routes = routes
};
// Configure authentication middleware
services.AddAuthentication()
.AddJwtBearer("users-service", options =>
{
// JWT bearer configuration for users service
})
.AddJwtBearer("products-service", options =>
{
// JWT bearer configuration for products service
});
await ocelotBuilder.AddOcelot(config)
.AddDelegatingHandler\<AuthenticationDelegatingHandler>()
.Build()
.StartAsync();



將 API Gateway 實作為微服務的單一入口點。它可以處理跨領域問題，如身份驗證、SSL 終止和速率限制。

public classApiGatewayHandler : DelegatingHandler
{
protectedoverrideasyncTask<HttpResponseMessage>SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
{
// Pre-processing: authentication, logging, etc.
AuthenticateRequest(request);
// Route to the appropriate service
var response = RouteToService(request);
// Post-processing: modify response, add headers, etc.
returnawaitProcessResponse(response);
}
privatevoidAuthenticateRequest(HttpRequestMessage request)
{
// Authentication logic
}
privateTask<HttpResponseMessage>RouteToService(HttpRequestMessage request)
{
// Logic to route to specific services
// This is a placeholder for actual routing logic
return Task.FromResult(newHttpResponseMessage());
}
privateasyncTask<HttpResponseMessage>ProcessResponse(HttpResponseMessage response)
{
// Response processing logic
return response;
}
}





1️1️⃣ ⃣ 錯誤處理 🚨

問題：向客戶端公開詳細的錯誤訊息可能會泄露有關 API 內部的敏感資訊，從而可能幫助攻擊者。

解決方案：實施全域錯誤處理策略，以在 API 中一致地捕獲和處理異常。將一般的、不敏感的錯誤訊息返回給客戶端，同時在伺服器端記錄詳細的錯誤資訊以進行偵錯。

public classErrorDetails
{
publicint StatusCode { get; set; }
publicstring Message { get; set; }
}
public classGlobalExceptionFilter : IExceptionFilter
{
privatereadonlyILogger<GlobalExceptionFilter> _logger;
publicGlobalExceptionFilter(ILogger<GlobalExceptionFilter> logger)
{
_logger = logger;
}
publicvoidOnException(ExceptionContext context)
{
int statusCode = StatusCodes.Status500InternalServerError;
string message = "An unexpected error occurred.";
if (context.Exception isArgumentException)
{
statusCode = StatusCodes.Status400BadRequest;
message = "Invalid request data.";
}
elseif (context.Exception isUnauthorizedAccessException)
{
statusCode = StatusCodes.Status401Unauthorized;
message = "Authentication required.";
}
// Handle other specific exception types
_logger.LogError(context.Exception, "Unhandled exception occurred.");
context.Result = newObjectResult(newErrorDetails
{
StatusCode = statusCode,
Message = message
})
{
StatusCode = statusCode
};
context.ExceptionHandled = true;
}
}
// Register the global exception filter
services.AddControllers(options =>
{
options.Filters.Add<GlobalExceptionFilter>();
});








建立一個自訂錯誤處理常式，該處理常式在不公開敏感詳細資訊的情況下返回描述性和有用的錯誤訊息。

public classGlobalExceptionHandler : ExceptionHandler
{
publicoverridevoidHandle(ExceptionHandlerContext context)
{
// Log the exception details for internal use
LogException(context.Exception);
// Provide a friendly error message to the client
var result = newHttpResponseMessage(HttpStatusCode.InternalServerError)
{
Content = newStringContent("An unexpected error occurred. Please try again later."),
ReasonPhrase = "Critical Exception"
};
context.Result = newErrorMessageResult(context.Request, result);
}
privatevoidLogException(Exception exception)
{
// Implement logging logic
}
}
public classErrorMessageResult : IHttpActionResult
{
privatereadonlyHttpRequestMessage _request;
privatereadonlyHttpResponseMessage _httpResponseMessage;
publicErrorMessageResult(HttpRequestMessage request, HttpResponseMessage httpResponseMessage)
{
_request = request;
_httpResponseMessage = httpResponseMessage;
}
publicTask<HttpResponseMessage>ExecuteAsync(CancellationToken cancellationToken)
{
return Task.FromResult(_httpResponseMessage);
}
}
// Register in WebApiConfig
config.Services.Replace(typeof(IExceptionHandler), newGlobalExceptionHandler());







1️2️⃣ ⃣ 輸入驗證 🛡️

問題：在未經適當驗證的情況下接受來自客戶端的不受信任的輸入可能會引入 SQL 註入或跨站點指令碼 （XSS） 等安全漏洞。

解決方案：始終在伺服器端驗證和清理輸入。使用數據註釋和內容進行基本驗證：[ApiController]

public classCreateUserModel
{
[Required]
[StringLength(50)]
publicstring Username { get; set; }
[Required]
[EmailAddress]
publicstring Email { get; set; }
[Required]
[StringLength(100, MinimumLength = 6)]
publicstring Password { get; set; }
}
[HttpPost]
publicIActionResultCreateUser([FromBody] CreateUserModel model)
{
if (!ModelState.IsValid)
{
returnBadRequest(ModelState);
}
// Create user logic
returnCreatedAtAction(nameof(GetUser), new { id = user.Id }, user);
}





對於更復雜的驗證方案，請考慮使用專用的驗證庫，如 FluentValidation：

public classCreateUserValidator : AbstractValidator<CreateUserModel>
{
publicCreateUserValidator()
{
RuleFor(x => x.Username)
.NotEmpty()
.MaximumLength(50);
RuleFor(x => x.Email)
.NotEmpty()
.EmailAddress();
RuleFor(x => x.Password)
.NotEmpty()
.Length(6, 100);
}
}
[HttpPost]
publicIActionResultCreateUser([FromBody] CreateUserModel model)
{
var validator = newCreateUserValidator();
var validationResult = validator.Validate(model);
if (!validationResult.IsValid)
{
returnBadRequest(validationResult.Errors);
}
// Create user logic
returnCreatedAtAction(nameof(GetUser), new { id = user.Id }, user);
}






請記住，輸入驗證不是靈丹妙藥。它應與其他安全措施（如參數化查詢、輸出編碼和內容安全策略）結合使用，以構建針對隱碼攻擊的全面防禦。

在 API 閘道器級別實作輸入驗證，以確保僅處理有效請求。

public classValidateModelAttribute : ActionFilterAttribute
{
publicoverridevoidOnActionExecuting(HttpActionContext actionContext)
{
if (!actionContext.ModelState.IsValid)
{
actionContext.Response = actionContext.Request.CreateErrorResponse(
HttpStatusCode.BadRequest, actionContext.ModelState);
}
}
}
// Usage in a Controller
public classMyModel
{
[Required]
publicstring Property1 { get; set; }
// Other properties and validation attributes
}
public classMyApiController : ApiController
{
[ValidateModel]
publicIHttpActionResultPost(MyModel model)
{
// Proceed knowing the model is valid
ProcessData(model);
returnOk();
}
privatevoidProcessData(MyModel model)
{
// Processing logic
}
}




1️3️⃣ ⃣ 使用安全編碼實踐 💻

問題：不安全的編碼做法可能會引入攻擊者可以利用的漏洞，從而危及 API 的安全性。

解決方案：遵循安全編碼準則和最佳做法，以最大程度地降低漏洞風險：

1️4️⃣ ⃣ 定期執行安全測試 🔍

問題：如果您不主動尋找安全漏洞，它們可能無法檢測到，從而使您的 API 暴露在潛在攻擊之下。

解決方案：將安全測試納入開發生命周期：

透過將安全測試作為開發過程的常規部份，您可以主動辨識和解決漏洞，以免被惡意行為者利用。

1️5️⃣ ⃣ 實施日誌記錄和監控 📝

問題：如果沒有適當的日誌記錄和監視，您可能會錯過關鍵的安全事件或無法檢測到正在進行的攻擊。

解決方案：對 API 實施全面的日誌記錄和監視：

透過實施強大的日誌記錄和監控，您可以了解 API 的安全狀況，及早檢測威脅，並快速響應以減輕任何事件的影響。

請記住，API 安全是一項多方面的工作，需要整體方法。透過結合安全編碼實踐、定期測試以及全面的日誌記錄和監控，您可以構建能夠抵禦各種威脅的 API。

在繼續開發和改進 API 的過程中，請始終將安全性放在首位。隨時了解最新的安全最佳實踐、工具和技術。與安全社群互動，參加會議和研討會，並不斷對自己和您的團隊進行有關 API 安全的教育。

透過在整個 API 開發生命周期中優先考慮安全性，您可以建立不僅功能強大、效能高，而且安全可靠且值得信賴的 API。🔒✨

如果你喜歡我的文章，請給我一個贊！謝謝