随着越来越多的企业将技术融入运营，应用编程接口（API）变得越来越重要。 加强 API 安全性和全面记录 API 至关重要。 然而，Enterprise Management Associates（EMA）的一项研究发现，只有不到 10%的 IT 组织对其 API 进行了全面记录。

“EMA研究的赞助商Neosec公司营销副总裁Edward Roberts说：”缺乏可见性和文档突出了API给企业带来的安全盲点。

令人惊讶的是，研究还发现，83% 的受访者认为他们会知道自己的 API 是否被滥用。 然而，Approov 移动安全公司首席技术官兼联合创始人理查德-泰勒（Richard Taylor）指出：”人们似乎不切实际地盲目相信，在流量前放置 WAF 或网关就能神奇地解决滥用问题。

许多形式的 API 滥用都是在暗中进行的，使用欺骗性应用程序来发出合法请求。 确保对所有 API 进行编目以防止未经授权的访问并降低安全风险至关重要。 EMA 的报告指出：”可以合理地推断，企业正在使用的 API 管理和安全工具能够有效地保护它们所了解的 API，但对于它们缺乏可见性的 API 却无能为力。

对不断增长的 API 清单进行编目可以帮助识别漏洞，保护系统免受恶意攻击。 下面，我们将探讨为什么创建一个有序的 API 目录如此重要。 我们还将强调长期开发（和维护） API 目录的诸多好处。

对应用程序接口库存进行编目日益重要

组织 API 库存并对其进行编目对于任何成功的 API 计划都至关重要。 它不仅能让您跟踪可用的不同 API，还能让您监控使用情况并发现潜在问题。 维护良好的清单还能确保只使用最新版本的 API，从而有助于提高安全性。

有条理的清单还能让您深入了解外部各方如何使用您的应用程序接口。 您可以利用这些洞察力开发新功能或优化现有功能，以确保 API 尽可能有效和可靠。 此外，通过全面了解库存中的所有 API，您可以更好地了解 API 计划的整体情况。

此外，对 API 清单进行编目可让您快速识别哪些 API 不再需要，并将其从程序中删除。 这样可以确保资源不会浪费在过时或多余的应用程序接口上，而只保留最相关和最新的应用程序接口。

有组织的应用程序接口目录的 7 大优势

有条理的 API 目录可以为企业和开发人员带来很多好处。 下面列出了其中的一些主要优势。

1. 提高发现能力

有了有条理的 API 目录，就能更容易地找到所需的 API。 如果对 API 进行了良好的编目，就可以更轻松地搜索和浏览不同的可用 API。 此外，拥有一个索引所有应用程序接口的单一真相源将有助于开发人员快速找到满足其需求的正确应用程序接口。

2. 提高效率

有序的 API 目录还可以提高运营效率，使 API 的创建、维护和监控更加容易。 这可以减少管理 API 所需的时间和资源，帮助团队事半功倍。

3. 标准化和一致性

通过统一的系统来组织 API，团队可以创建标准化的描述和元数据来描述每个 API。 这样就能使 API 更加一致，使其更易于维护，并减少开发和维护所需的时间。

4. 开发人员合作

有组织的 API 目录可以为团队合作提供一个集中的系统，从而促进开发人员之间的协作。 这样可以更容易地共享知识，提高开发速度。

5. 提高可重用性

如果对应用程序接口进行了良好的编目，它们就更容易在其他项目中重复使用。 这就避免了创建新的应用程序接口所浪费的时间，使利用现有代码快速构建新的应用程序成为可能。

6. 更好的治理和安全

有序的 API 目录有助于确保 API 符合所有法规要求和标准。 这有助于保护用户数据，使团队符合行业法规。 它还有助于避免随着时间的推移出现影子 IT 和有风险的僵尸 API 端点。

7. 改善用户体验

有序的 API 目录可以让用户更容易地找到并访问所需的 API。 为 API 提供一个单一的信息源有助于简化用户的操作过程，使其更容易浏览复杂的应用程序。

底线： 编制 API 库存目录

总之，对 API 清单进行编目对于任何成功的 API 计划都至关重要。 随着大多数企业使用的 API 数量不断增加，跟踪内部和第三方 API 变得越来越重要。

完整的 API 清单使您能够管理可用的 API、监控使用情况、提高安全性、获得洞察力并优化现有功能。 此外，它还能让您快速识别并删除过时或多余的 API，确保只支持最新的 API。

本文翻译源自：https://nordicapis.com/7-reasons-why-cataloging-your-api-inventory-matters/

各类可免费使用的API资源有一个共同点，那就是它们为开发者提供了免费的访问和使用接口，以便于集成到他们的应用程序、项目或网站中。这些API资源涵盖了多个领域，包括天气、地图、社交媒体、机器学习、数据处理等等，为开发者提供了丰富多样的功能和服务。

共同点之一是它们都为开发者节省了时间和资源，因为开发者无需从头开始构建复杂的功能，而是可以直接使用这些API资源来实现所需的功能。共同点之二是这些API资源通常有详细的文档和示例代码，使得开发者可以轻松理解和使用它们。此外，这些API资源都经过了广泛的测试和验证，以确保其性能和可靠性。最重要的是，这些API资源提供了免费的访问计划，使得开发者可以在没有负担的情况下尝试和使用它们，促进了创新和学习的发展。总之，这些可免费使用的API资源共同为开发者提供了便捷、高效和经济的方式来实现他们的项目和创意。

关键词引导

关键词引导API服务是一个基于用户提供的关键词，自动生成相关引导词的服务。这个API可以帮助用户在进行内容创作、搜索引擎优化或社交媒体推广时，快速找到与关键词相关的热门话题或搜索趋势。

API主要特点：

• 关键词相关引导词生成：API根据输入的关键词，返回一系列相关的引导词或热门搜索词，帮助用户扩展内容或优化搜索结果。
• 内容创作辅助：对于撰写文章、博客或制作视频的创作者来说，这个API能够提供内容灵感和关键词建议，增加作品的曝光率。
• 搜索引擎优化（SEO）：SEO专家可以使用这个API来发现与特定关键词相关的高搜索量词汇，优化网页内容，提高搜索引擎排名。
• 社交媒体推广：社交媒体经理可以利用这些引导词来创建更具吸引力的帖子，提高用户参与度和分享率。
• 数据及时更新：API定期更新数据，确保提供的引导词能够反映最新的搜索趋势和用户兴趣。

字体设计

AI字体设计API服务是一个创新的服务，它利用人工智能技术根据用户输入的文本内容进行字体设计，并返回设计后的字体图像。这项服务特别适合需要快速生成具有特定风格字体的设计师或开发者。

API主要特点：

• 文本转字体设计：用户只需提供文本，API将自动进行字体设计，生成独特的字体样式。
• 即时生成图像：设计完成后，API返回包含设计字体的图像URL，用户可以直接访问并使用生成的图像。
• 多样化设计：AI技术保证了每次生成的字体设计都具有独特性和创造性，满足不同设计需求。
• 易于集成：API的简单调用方式和JSON返回格式使得集成到各种应用程序中变得容易。
• 稳定性保障：尽管平台聚合了多个开发者提供的接口，但平台致力于确保服务的稳定性，并提供了智能生成代码和在线测试接口的功能，以便用户可以轻松测试和使用API。

歇后语大全

歇后语大全API服务是由RoolToolsApi提供的服务，允许开发者和用户获取丰富的歇后语内容，包括谜题和谜底。这项API旨在支持开发包含歇后语的游戏或应用程序，尤其适用于益智和教育类软件，为用户提供娱乐和学习中国传统语言文化的机会。

API主要特点：

• 全面的覆盖：歇后语大全API提供了广泛的歇后语库，涵盖了各种类型和主题的歇后语，包括常见的、地方特色的、行业相关的等等。这使得开发者可以轻松获取到全面且多样化的歇后语资源。
• 灵活的查询功能：歇后语大全API通常提供了灵活的查询功能，可以根据关键词、主题、难度等条件来搜索和获取特定的歇后语。这使得开发者可以根据自己的需求来定制查询，找到符合要求的歇后语。
• 多语言支持：一些歇后语大全API还支持多种语言的歇后语，不仅可以满足中文用户的需求，还可以为其他语言的用户提供相应的歇后语资源，增加了API的适用性和可扩展性。
• 高可靠性和稳定性：歇后语大全API通常由专业的团队或机构提供和维护，保证了数据的准确性和更新性。同时，它们也会提供稳定的服务器和网络环境，确保API的高可靠性和稳定性，以便开发者可以随时调用和使用。
• 易于集成和使用：歇后语大全API通常提供了简单易用的接口和文档，使得开发者可以轻松地将其集成到自己的应用程序中。它们通常提供了示例代码和详细的使用说明，帮助开发者快速上手和使用API。
• 可定制化和扩展性：一些歇后语大全API还提供了可定制化和扩展性的功能，使开发者可以根据自己的需求来自定义API的行为和输出格式。这样，开发者可以根据自己的应用场景和用户需求来个性化API的功能和展示方式。

百度热搜

百度热搜API服务是一个提供百度搜索热搜榜数据的服务。通过这个API，用户可以获取当前在百度上搜索量激增的热门话题。

API主要特点：

• 实时热搜榜数据：API提供百度热搜榜的实时数据，包括热搜话题的标题、排名、热度指数、描述以及相关图片链接。
• 详细描述：每个热搜话题都附带有详细的描述信息，帮助用户了解热搜背后的具体情况。
• 多维度信息：除了标题和描述，API还返回每个热搜话题的图片链接、搜索链接以及移动端搜索链接，方便用户直接访问和了解更多详情。
• 易于集成：JSON格式的返回数据易于在各种编程环境中集成和解析，使得开发者可以快速将热搜数据应用到自己的应用或服务中。
• 稳定性保障：尽管平台聚合了多个开发者提供的接口，但平台致力于确保服务的稳定性，并提供了智能生成代码和在线测试接口的功能，以便用户可以轻松测试和使用API。

全球顶级免费代理IP提取

全球顶级免费代理IP提取API服务是一个提供代理IP地址的服务，它每天凌晨自动从全球八个国家的三十个免费代理IP站点抓取3万到8万个IP地址。这些IP地址被分为不同的类型，包括Https Proxy、Http Proxy、Socks5 Proxy、Socks4 Proxy、Socks Proxy，以及不同的匿名级别：透明、普匿、高匿。

API主要特点：

• 自动抓取：系统每天自动更新代理IP地址，确保用户能够获取到最新的代理资源。
• 多种代理类型：提供多种类型的代理服务器，包括HTTPS、HTTP以及Socks代理，满足不同场景的需求。
• 匿名级别分类：根据代理的匿名程度，将IP地址分为透明、普匿和高匿，用户可以根据自己的需求选择合适的代理。
• 全球资源：代理IP地址来自全球八个国家，提供更广泛的地理分布，有助于绕过地区限制。
• 易于集成：支持JSON和TXT格式的返回数据，方便开发者在各种编程环境中集成和使用。

更多免费API，就在API HUB

#Product Trends

The Characteristics of Industrial Robot Integrated Slip Rings

The Characteristics of Industrial Robot Integrated Slip Rings

The application scope of industrial robots is continuously expanding, and they play an indispensable role on the production lines of modern factories. Industrial robots can replace manual labor in tasks such as lifting heavy objects, assembling precision components, welding, and painting, thereby enhancing production efficiency and reducing labor intensity. Within the motion and operation of industrial robots, slip rings are a critical component responsible for transmitting power, signals, and data. JINPAT, as an experienced slip ring manufacturer, boasts a history of nearly 30 years in the field, offering over ten thousand rotational conductive solutions for various industries, including a segment dedicated to custom solutions tailored for industrial robots.

JINPAT is committed to delivering high-reliability industrial robot integrated slip rings. After years of research and development, they’ve rigorously evaluated hundreds of alternative structural and material combinations to ensure the provision of the most rational slip ring solutions, meeting the elevated reliability standards demanded by industrial robots. JINPAT industrial robot slip rings are primarily based on a hollow shaft design, featuring outstanding scalability. They can not only transmit power but also be customized to support various signal types, even integrating pneumatic and hydraulic modules. This design has made hollow shaft slip rings highly popular in the field of industrial robotics.

Many of JINPAT industrial robot slip rings are based on a hollow shaft design and serve as the foundation for patented technologies that have been widely adopted by international industrial robot giants. These products include electrical signal integrated models and multi-module slip rings supporting both electrical and fluid transmission, and they have received unanimous acclaim from customers through extensive use across various assembly lines.

In the context of industrial robots, it’s uncommon to directly use standard slip rings. Even in the case of ultra-compact industrial robot slip rings, employing standard products often necessitates the customization of supporting arms and other supplementary components. JINPAT primarily focuses on the LPMS-06/08 series for applications involving ultra-compact industrial robot slip rings. These products have diameters ranging from 5.5 to 7.6mm and support mixed transmission of signals and power across their channels, eliminating the need for additional enhancements to transmit basic signals. However, when industrial robot joints require the transmission of higher power, ultra-compact slip rings may not meet the requirements.

JINPAT industrial robot integrated slip rings provide high reliability, scalability, and customized solutions for modern industrial robot systems, enabling them to deliver outstanding performance across a variety of applications. Through continuous research and innovation, JINPAT remains at the forefront of slip ring technology advancement, meeting the evolving needs of industrial automation.

More information

API 安全入门

如果正在构建临时应用程序，建议更多地关注如何在XY坐标上移动，并首先关注其他较低级别的基础知识。一旦程序从那里发展出来，就可以构建第一个Web应用程序。

OpenID Connect被设计成一个非常简单的协议，因为最难的部分（服务器实现）已经由Curity等组织负责。这意味着从头开始的人可以轻松使用它，并用几行PHP或C#甚至Java编写它。

OpenID Connect允许所有类型的客户端（包括基于Web的客户端、移动客户端和JavaScript客户端）请求和接收有关经过身份验证的会话和最终用户的信息。该规范套件是可扩展的，允许参与者在需要时使用可选功能，例如身份数据加密、OpenID提供商发现和会话管理。

可以访问OpenID基金会，那里有许多例子和一些博客文章，它们会指明正确的方向。此外，建议访问Curity.io网站的“入门”部分以获取更多提示和技巧。Curity的服务器社区版完全免费，可以立即下载。值得注意的是，安全性通常是大多数API程序领导者需要花费最长时间才能弄清楚和成熟的事情之一。

在构建API时（如果正在构建通过网络连接的东西），需要从头开始制定良好的安全策略，因为许多API程序上下文中没有提到“身份”这个词。

目前需要关注的 API 安全趋势

1、相关技术：OpenID Connect

OpenID Connect作为OAuth 2.0协议之上的简单身份层，已经显著提升了安全最佳实践的标准。它允许客户端根据授权服务器执行的身份验证来验证最终用户的身份，并获取基本个人资料信息。随着OpenID Connect在身份验证和联合领域的成就，技术、产品和新标准不断涌现，推动了API安全的发展。

2、开放银行业务的持续发展

开放银行理念的核心在于客户的财务数据属于客户自己，允许在无需中介的情况下进行支付，为个人和小型企业创造了更多的金融包容性。这一趋势预计将扩展到其他地区，包括美国、中东、香港和亚洲，从而带动对符合监管要求、高度安全的API的需求。

3、新的身份标准

全球身份保证网络（GAIN）等身份识别层的构建，有助于在网上进行更安全的交易。随着这些标准的普及，需要在遵守标准和保持良好的消费者体验之间找到平衡。

4、利用超媒体API

超媒体API的使用允许将登录过程作为一种状态机进行管理，从而创建简化的用户体验。这种方法有助于在考虑与应用程序交互的所有因素时，专注于可预测性和适应性。

如何帮助企业在API设计和开发过程中实现更好的安全性

1. API设计优先

• API设计优先：Stoplight推崇API设计优先的方法，这意味着在编写代码之前，先定义和设计API的结构和行为。通过这种方法，开发团队可以在设计阶段考虑到安全问题，从而减少后期修复漏洞的成本和复杂性。API设计优先还允许更好的协作，因为所有团队成员都可以在设计阶段就对API的结构和行为达成共识。

2. 样式指南（Style Guides）

• 自动化规则：样式指南功能允许企业创建一组预定义的安全规则，这些规则会自动应用于API设计中。例如，样式指南可以检查API是否使用了强身份验证、是否有适当的输入验证等。
• 实时反馈：在使用Stoplight的设计工具时，开发者可以实时收到关于安全问题的反馈。这种即时反馈机制可以帮助开发者在编写代码时就发现并修复安全漏洞，而不是等到代码审查或测试阶段才发现问题。

3. 预设安全规则

• OWASP Top Ten：Stoplight提供了预设的安全规则集，如OWASP API安全Top Ten。这些规则集包含了API安全的最佳实践，帮助企业快速启动并应用这些行业标准。
• 自定义规则：企业可以根据自身的安全需求，添加或修改规则。例如，如果企业有特定的数据加密要求，可以将这些要求添加到样式指南中，确保所有API设计都符合这些要求。

4. 持续集成（CI）和持续交付（CD）

• CI/CD集成：Stoplight的工具可以无缝集成到企业的CI/CD管道中。在代码合并和部署之前，自动化的安全检查可以确保所有代码都符合预定义的安全标准，防止安全漏洞进入生产环境。
• 版本控制系统：在代码版本控制系统（如Git）中，样式指南可以作为检查点，确保每次代码提交都符合安全标准。这减少了人工审查的时间和工作量，同时提高了代码的安全性。

5. 设计库（Design Libraries）

• 可重用组件：设计库功能允许企业创建和共享可重用的API组件，如安全模式、参数和头信息。这些组件可以确保不同团队在设计API时使用一致的安全标准，减少重复工作和错误。例如，企业可以创建一个标准的身份验证模块，所有新开发的API都可以直接使用这个模块，而不需要每次从头开始实现。

6. 变更管理（Proposals）

• 变更监控：变更管理功能允许企业监控API的变更，确保任何修改都经过审查和批准。这有助于在设计阶段捕捉潜在的安全问题，防止它们进入生产环境。例如，如果一个API的设计发生了变更，变更管理工具会通知相关团队进行审查，确保变更不会引入新的安全漏洞。

7. 文档和可见性

• 文档生成：Stoplight可以自动生成详细的API文档，使得所有团队成员都能清楚地了解API的设计和安全要求。这不仅提高了团队的协作效率，还确保了API的透明性和可维护性。
• 可见性和审查：通过提供一个集中的平台，Stoplight使得API的设计和安全问题更加透明，便于团队之间的沟通和协作。例如，安全团队可以随时查看API的设计和实现，提出改进建议，从而提高整个开发过程的安全性。

如何选择幂简集成平台提供的spotlight？

在幂简API平台可以通过以下两种方式找到所需API：通过关键词搜索spotlight、或者从API Hub分类页进入寻找。

幂简集成是国内领先的API集成管理平台，专注于为开发者提供全面、高效、易用的API集成解决方案。幂简开发者社区会编写API入门指南、多语言API对接指南、API测评等维度的文章，让开发者快速使用目标API。

文章转载自: API 安全：4个趋势以及从何处入手

Chemical Modifications of Peptide Sequences via S-Alkylation Reaction
Enrica Calce, Marilisa Leone, Luca Monfregola, and Stefania De Luca
Org. Lett., Article ASAP
DOI: 10.1021/ol402637d
Publication Date (Web): October 3, 2013
Copyright © 2013 American Chemical Society

A chemoselective, convenient, and mild synthetic strategy to modify peptides on a cysteine sulfhydryl group is described. It simply requires activated molecular sieves to selectively promote S-alkylation in the presence of peptide nucleophilic functionalities. The procedure is easy to perform, fast, and provides high yields even in the case of poor electrophilic groups. Moreover, the method allows an efficient one-pot poly alkylation, proving that the sulfhydryl reactivity does not rely on its specific position within the peptide sequence.

When school is closed and everyone is supposed to study and
work from home, many teens spend their time lazying around, watch YouTube, or
play video games. You’d think with all that spare time, they can at least
squeeze an hour or two a day to do something useful, like writing.

4 Secrets to Motivating Teens to
Write

Many parents can vouch the difficulty in motivating their
teens to do anything productive with their time. If you’re one of them and you
in need help in getting your teens to start writing, then you need to follow
these tips:

.

#1. Let them pick the topic, writing style, and tone

Teens perform better in a positive environment, right? Now
it’s time to put that knowledge into practice.  It’s easier to get your teens writing
creatively when you give the freedom to pick the topic. Remember that they’re
not writing for you.

.

Also give them the freedom to pick their own writing style
and tone. Most teens write to get it out of their system. More often than not,
they won’t be writing in a style you’re so accustomed and neither will their
tone. You know what? That’s great!

.

Encourage your teens to find their own voice. It will do
wonders for their self-confidence.

.

#2. Stop correcting every little mistake

When you’re obsessed with spelling and grammar, your teens will
hate writing. Don’t lose sight of your goal. Why did you want your teens to
write in the first place? To have them practice grammar? That’s not it, isn’t
it?

.

It’s time for you to learn to accept imperfection. Just let
them write their heart out and save the spelling correction for much later. You
can also let them fix their own mistakes. Point them to a helpful tool such as
the online spelling and grammar
checker. It’s easy to use and your kids can do it if and when they want to.

.

#3 Encourage them to read

Perhaps your teens are having writer’s block. There’s
nothing wrong with that. Even the most established writers often agonize over a
word. One easy fix is to let them read. By reading other people’s work they can
get new ideas easily.

.

#4. Start listening

When was the last time you’ve had a good conversation with
your teens? Now is a good time, you know?

.

Ask your teens why they’re so reluctant to write, but spend
more time listening than asking questions. Let them explain their ideas and
opinions. Go off-topic and ask how they’re feeling about current events. While
you’re at it, remind them gently on how they can pour what’s on their mind into
a written form.

.

—

OK, that’s all for our simple steps to encourage teens to
write. Last but not least, please remember to keep your expectations
reasonable. Expecting your teens to flesh out an award-winning novel on their
first try is illogical. Let them take baby steps and motivate them to write
more. They’ll get there eventually. But even if they don’t, just help them to
write better. That’s what good parents do.

During the early stages of the first industrial revolution, there was no standard for fabricating machine parts. That meant every machine or manufactured product had its custom design and was built in a “one-off” production style. Although this method allowed manufacturers to achieve dimensional accuracy, it caused long lead times.

Towards the end of the first industrial revolution, Eli Whitney (the cotton gin inventor) figured out how to manufacture several muskets so that they were interchangeable ㅡ which means the muskets were identical and he could substitute them for one another. His manufacturing approach showed how components of an assembly should be manufactured to certain standard machining tolerance.

But what exactly is machining tolerance, and how does it work? This article answers all of these and more.

What is Tolerance in Machining?

Tolerance is simply a measure of acceptable variation (or deviation) in the dimension of your part. Simply put, machining tolerance allows you to specify a part’s maximum and minimum dimensional limit. It is typically expressed using “±” (pronounced plus or minus) and accompanied by an acceptable deviation (for example, ±0.05).

To better understand tolerances, consider a scenario where you’re looking to manufacture a shaft that will be coupled to a bearing, as shown in Figure 1.

Figure 1: A shaft and bearing coupling

Suppose the bearing has a diameter of 30 mm. In such a scenario, you’d agree that a shaft manufactured to have a 30 mm diameter (or greater) might be challenging to fit into the bearing. Likewise, a shaft with a diameter of 27 mm will be too loose for the bearing.

Machining tolerances allow you to specify acceptable deviation in your part’s dimension to ease assembly. So, for instance, you can specify a shaft dimension of 29 ± 0.05 mm when manufacturing your shaft. This dimension would indicate that a shaft diameter between 28.95 mm and 29.05 mm would be satisfactory for the shaft-bearing assembly.

Types of Tolerances

#1 Unilateral Tolerance

Unilateral tolerance is a type of tolerance that allows variation from the nominal (or true) dimension only in one direction (positive or negative). An example of such tolerance is shown in Figure 2. This drawing illustrates unilateral tolerance using a shaft with a diameter of 153.65 (+2.52/-0.00) mm.

Figure 2: Unilateral tolerance

It tells manufacturers that the finished shaft diameter must be at least 153.65 mm and at most 156.17 mm ㅡ which is a sum of 153.65 mm and 2.52 mm.

Learn more: What is a Unilateral Tolerance?

#2 Bilateral Tolerances

Unlike unilateral machining tolerance, bilateral tolerances allow variation from the nominal dimension in the positive and negative directions. An example of such tolerance is shown in Figure 3, where we have a hole with a diameter of 102.00 ±0.10 mm.

Figure 3: Bilateral tolerance

Notice how this tolerance allows equal variation from the nominal value in both directions. So, suppose your manufacturer fabricates a hole with a diameter ranging between 101.90 mm and 102.10 mm. In such a scenario, it won’t affect your part’s function.

You should opt for bilateral tolerances if you’re looking to mass-produce exterior parts since it eliminates the possibility of costly errors that would render your finished products useless.

Learn more: Unilateral vs. Bilateral Tolerance

#3 Limit Tolerance

As its name implies, limit tolerance is a type of tolerance that expresses the limit (or extreme) possible values of a part. For instance, Figure 4 illustrates the limit machining tolerance. And it tells manufacturers that the machined part (or final product) is satisfactory as long as the shaft dimension falls between 99.50 mm (lower limit) and 101.80 mm (upper limit).

Figure 4: Limit tolerance

#4 Standard Machining Tolerances

Standard tolerances are the most widely used machining tolerances for most fabricated parts today. These tolerances typically fall within the range of ±0.005” and ±0.030”, and machinists usually apply them when customers do not specify tolerance levels.

For instance, Table 1 shows the standard tolerances for different manufacturing processes:

These tolerance values are set by several international standards bodies (like ASME and ANSI). They are ideal when you’re looking to fabricate simple parts (or part features) like pipes, threads, and pins. However, for more complex part features, you might want to specify tolerances and requirements using the Geometric Dimensioning and Tolerancing (GD&T) standard.

Understanding Geometric Dimensioning and Tolerancing (GD&T)

Geometric Dimensioning and Tolerancing (GD&T) provides a higher level of quality control compared to other machining tolerances. For instance, it allows you to specify unique geometric characteristics like the true position of a feature, a part’s flatness, perpendicularity, parallelism, and concentricity.

Figure 5 shows the 2D computer-aided design (CAD) drawing of a part with GD&T. Notice how this drawing and machining tolerance provides helpful information about how certain surfaces should be parallel and perpendicular to other surfaces.

Figure 5: Geometric Dimensioning and Tolerancing

GD&T is a staple of design and manufacturing, and you’ll find top-tier product designers using this tolerancing approach with the other tolerance types for their product design. This combination of machining tolerance methods allows you to communicate your design intent precisely. It also reduces the need to explain complex requirements, especially if you’re looking to outsource manufacturing to a machine shop abroad.

Figure 6: Exploded view and assembled view of an induction motor featuring several parts with different tolerance requirements

 

Manufacturing with Gensun

Machining tolerance is essential when you’re designing parts you want to manufacture. However, the success of your manufacturing project also depends on the machine shop you decide to work with.

Gensun Precision Machining is a leading provider of manufacturing services across Asia. We have a team of highly qualified machinists, engineers, and quality control experts who work together to understand your design and tolerance requirements before getting your product done right.

Learn more about our high-quality CNC machining and 3D printing (or additive manufacturing) services.

在北京时间8月30日的新闻报道中，前NBA球员迈克·毕比近期作为嘉宾出现在了《Club 520》节目中，期间他分享了自己在迈阿密热火队打球时的感受和体验。

毕比说道：“在热火的情况很不同，我不习惯这种情况。我本来就没怎么打球，每场比赛只打大约12分钟，但在热火效力的感觉和我以前的经历完全不同。在热火我每周都要测体脂，如果体脂测试没通过，我就得额外做有氧运动，每周都要称体重。我不得不为我的球衣付费，才能把球衣带回家。”

2011年3月3日，热火正式宣布与被奇才买断的毕比签约。

Description

Loop Mint Mania Mini Portion – This all white mini pods will freshen up your day with a sweet flavour and aroma of mint. Minitature pouches that stay well hidden under the lip.

FACTS

Net Weight: 9g
Nicotine Level: 15 mg/g (6,75 mg per pouch)
Flavour Description: Mint
Number of Pouches: 20/ Can
Pouch size: Mini
Texture: Moist
Available in: Single cans, Rolls (10 cans)
Manufacturer: Another Snus Factory

 

应用程序编程接口 (API) 是现代软件架构的重要组成部分，作为不同软件系统之间进行通信和数据交换的桥梁。API 定义了应用程序之间相互通信的方法和数据格式，从而实现互操作性，对于提供用户期望的丰富、无缝体验至关重要。通过 API，可以模块化地扩展功能，而不会影响整个系统，服务也可以进行更新、替换或扩展。在如今高度依赖集成的数字生态系统中，API 促进了服务、云应用程序和数据源之间的连接，从而加速软件开发的创新和效率。

什么是 API 安全性？

API 安全性是现代 Web 服务和应用程序的重要组成部分，旨在保护 API 及其所涉及的任何中介机构的完整性。API 安全性涉及实施多种措施来保护数据交换，确保 API 只能由授权用户访问，数据传输安全可靠。有效的 API 安全性包括对用户进行身份验证和授权、验证与清理输入数据、加密敏感信息，以及维护全面的日志以进行持续监控和审核。此外，还需遵循管理 API 访问令牌的最佳实践。

API 的安全性至关重要。作为敏感数据和关键业务逻辑的网关，一旦 API 遭到破坏，可能导致严重的数据泄露、财务损失以及客户信任度下降。API 安全性确保仅处理合法请求，保护数据在传输中的安全以及 API 所公开的后端服务安全。随着核心业务流程对 API 的依赖日益加深，保护它们的需求也变得更加紧迫。API 面临的常见安全威胁包括未经授权的访问、注入攻击和利用错误配置的漏洞。攻击者可能通过这些漏洞对敏感数据进行未授权访问、破坏服务运营，甚至操纵业务流程。随着 API 生态系统的复杂性和规模不断增加，实施强有力的安全措施已成为全球组织的关键关注点。

API 攻击

API 漏洞可能会遭受多种类型的专门攻击，以下是常见的攻击类型：

注入攻击

当攻击者通过脚本或查询的形式发送恶意数据，试图执行未预期的命令或访问未经授权的数据时，就会发生注入攻击。例如，SQL 注入可以利用 API 数据查询接口中的漏洞来操纵数据库。

身份验证被破坏

未正确执行身份验证检查的 API 容易受到攻击。攻击者可能窃取或伪造身份验证令牌，进而获取对敏感资源和功能的未授权访问。

敏感数据暴露

加密不足或业务逻辑的缺陷可能导致敏感数据意外泄露。API 可能会无意中暴露私人信息，例如个人详细信息、财务记录或机密业务数据。

日志记录和监控不足

缺乏对活动的正确记录和 API 端点的监控，将使得检测和响应安全事件变得困难。这种疏忽可能使攻击者在不被察觉的情况下利用其他漏洞，增加了重大安全漏洞的风险。

API 泄露对组织的影响深远且多方面。在财务上，可能因欺诈、盗窃或不合规而被处以罚款，导致重大损失。此外，违规行为还会损害组织声誉，并可能导致客户流失。

此外，API 泄露可能导致运营中断，并需要大量资源来解决，涉及紧急事件响应、长期安全升级及与数据泄露后果相关的法律成本。在数据隐私愈发重要的今天，因 API 漏洞导致的个人数据处理不当可能引发严重的法律和道德影响。因此，组织必须优先考虑 API 安全，采用最佳实践来防范已知的攻击媒介，并建立能够随网络威胁变化而不断更新的安全文化。

API 安全最佳实践

身份验证和授权是 API 安全性的核心，决定谁可以访问 API 以及允许其执行哪些操作。OAuth 2.0 是一种广泛使用的授权框架，允许应用程序获得对 HTTP 服务上的用户账户的有限访问权限。其工作原理是将用户身份验证委托给托管用户账户的服务，并授权第三方应用访问用户账户。OpenID Connect 在 OAuth 2.0 的基础上扩展了身份断言，提供了一种验证最终用户身份的方法，以及获取用户基本信息的方式。API 密钥是另一种控制访问的方法，通过与 API 请求一起提交唯一标识符，服务可以识别调用应用并检查其访问权限。

安全通信是 API 安全的另一重要支柱。通过使用 HTTPS 和传输层安全性 (TLS)，确保客户端与服务器之间的数据传输经过加密，从而防止攻击者拦截或篡改。尤其在敏感数据交换时，这种加密能够防止信息被明文形式传输，保护数据的机密性。

输入验证和参数化对于防止注入攻击至关重要。攻击者通常会利用输入字段的漏洞发送恶意命令，通过验证所有输入并参数化查询，应用程序可以拒绝意外或有害数据，从而显著降低注入攻击的风险。

访问控制和速率限制对于管理 API 中用户行为至关重要。基于角色的访问控制 (RBAC) 确保用户只能访问其角色所需的资源，降低未经授权访问的风险。而速率限制和配额通过限制在特定时间内的 API 调用数量，有效防止滥用和潜在的拒绝服务攻击。

安全标头和跨源资源共享 (CORS) 也在保护 API 中发挥着重要作用。安全标头，如内容安全策略 (CSP)，可以帮助防止跨站点脚本 (XSS) 和数据注入攻击。而 CORS 配置则允许服务器控制内容共享的方式和时机，尤其对于需要从不同来源访问的 API 至关重要。

数据加密是防止数据泄露和未授权访问的主要防线。通过在传输中（加密传输）和静态（加密存储）加密数据，确保敏感信息在没有正确解密密钥的情况下不可读。数据加密对于维护数据机密性、完整性以及遵守数据保护法规至关重要。

最后，审计和日志记录是监控 API 使用情况和检测可疑活动的必要手段。有效的日志记录可以跟踪 API 的访问者、执行的操作及其时间。这些信息对于审核和追踪安全事件的根本原因非常重要。监控系统还可以通过检测异常模式（如大量失败的登录尝试或流量异常激增）发出警报，快速响应并缓解潜在的安全威胁，确保 API 的安全和可靠。

这些实践构成了保护 API 的综合方法，平衡了可访问性与保护敏感数据和服务免受未经授权使用及网络威胁的需求。

API 的安全模式

API 设计中的安全模式是针对创建和管理 API 时常见安全问题的标准化解决方案，作为解决身份验证、授权、数据加密和服务间安全通信等安全挑战的蓝图。通过实施这些模式，开发人员不仅能确保 API 正常运行，还能防止未经授权的访问和数据泄露，从而保护敏感数据并维持 API 服务的完整性和机密性。这些模式在开发生命周期中至关重要，有助于应对潜在安全威胁，是构建强大、安全的 API 生态系统不可或缺的一部分。

网关模式

网关模式通过提供一个管理 API 请求的单一入口点，在现代应用架构中发挥关键作用。API 网关作为所有客户端请求的汇集点，充当安全哨兵，确保只有经过身份验证和授权的请求才能到达后端服务。网关可以实现多种安全协议，从简单的 API 密钥到复杂的 OAuth 令牌，有效减轻了微服务本身的安全问题。这种抽象不仅简化了客户端交互，还允许在一个地方统一实施和更新身份验证与授权策略，确保强大的安全态势并符合数据隐私法规。

代理模式

在网络安全领域，代理模式中的反向代理充当客户端请求资源的中介。反向代理通过执行 SSL 终止、请求过滤和负载均衡，增加了一层额外的安全保护，防止后端服务直接暴露于互联网。通过隔离 API 端点与直接客户端访问，反向代理能最大程度地减少攻击面并降低未经授权访问的风险，同时还能提供缓存内容和压缩出站数据以优化性能的机会。

经纪人模式

在管理分布式系统中服务间通信的复杂性时，经纪人模式扮演着重要角色。它涉及一个代理组件，用于协调客户端和服务之间的 API 请求和响应。通过调解这些交互，代理提供了额外的安全层，执行消息验证和转换，避免暴露服务逻辑。服务代理通过管理流量、执行策略以及监控和记录活动来提高安全性，这对检测和防范恶意活动至关重要。同时，代理模式简化了客户端与后端服务的交互，提供了一个强大且可维护的接口，即使服务不断演变，也不会直接影响客户端。

标记化和加密模式

数据安全是当今数字环境中的核心问题，标记化和加密模式为保护敏感信息提供了有效的策略。标记化通过将敏感数据元素替换为不敏感的标记，保护如支付信息或个人标识符等数据，使其在多个系统中传递而不暴露底层敏感信息。加密则确保数据在静态和传输过程中无法被未授权方读取，采用强加密算法和密钥管理实践，使数据仅对持有正确解密密钥的授权实体可读。两者相结合，为保护不同状态和途径的数据提供了强有力的防御，确保合规性并建立对数字系统的信任。

先进的安全技术与 API 开发集成

在不断发展的 API 开发环境中，安全技术不仅是开发过程中的一个环节，更是其基础组成部分。从一开始将安全性集成到 API 开发生命周期中，能够有效建立对抗日益复杂网络威胁的坚固防御。这种集成确保安全成为从设计到部署的每个阶段的重点，从而在组织内培养一种以安全为核心的文化。通过在 API 生命周期中优先考虑安全性，开发人员和企业不仅可以保护其 API，还能巩固整个依赖这些关键基础设施的生态系统。

用于异常检测的机器学习

机器学习算法擅长识别偏离正常行为的异常模式，这可能是安全漏洞的信号。这些系统通过从历史数据中学习来检测异常，从而实现对潜在威胁的实时自动响应，无需人工干预，有效增强整体安全态势。

零信任架构

零信任架构基于最小权限原则，确保用户和系统只获得必要的访问权限，且每次访问都要经过身份验证与授权。此架构始终保持验证状态，以防止未经授权的访问，保护网络安全。

不可变 API 与基础设施即代码 (IaC)

不可变 API 和基础设施即代码 (IaC) 为一致的部署模式提供了基础，消除了环境配置中的不一致。这种方法能自动化实施安全策略，确保基础设施修改可追踪、可验证，从而防止未经授权的更改。

左移安全方法

左移安全方法强调在软件开发生命周期的早期阶段集成安全措施，而不是事后补救。通过在设计阶段纳入安全考量，并在开发过程中进行定期安全审查和测试，可以及早发现并解决潜在漏洞，从而降低部署后发生安全事件的风险。

持续集成/持续部署 (CI/CD) 与安全

在 CI/CD 实践中，安全是关键组成部分。CI/CD 管道中嵌入了自动化安全扫描，以确保软件每次迭代都经过漏洞审查。这一过程使安全性能够与现代开发的快速发布环境同步，实现安全且可靠的持续交付。

OWASP 前 10 名 API 安全风险

OWASP（开放 Web 应用程序安全项目）Top 10 是针对开发人员和 Web 应用程序安全性的标准意识文档，代表了对 Web 应用程序最关键安全风险的广泛共识。对于 API，这些风险类似于传统 Web 应用程序，但表现形式不同。API 作为用于构建软件和应用程序的协议和工具集，由于直接访问后端系统和数据，特别容易受到安全风险的影响。

官方 OWASP 十大 API 安全风险包括以下威胁：

1. 损坏的对象级授权：API 应对对象实施访问控制，确保用户只能访问被授权的对象。
2. 用户身份验证失效：API 应验证用户身份，不允许未经授权访问敏感功能。
3. 过多的数据暴露：API 应仅暴露所需的数据，防止数据泄露。
4. 缺乏资源和速率限制：API 应对客户端请求的资源大小和数量实施限制，防止拒绝服务攻击。
5. 功能级别授权被破坏：在功能级别确保用户只能执行其权限范围内的操作。
6. 批量分配：API 应防止客户端使用敏感字段批量更新记录。
7. 安全配置错误：应定义、实施和维护安全配置，避免使用不安全的默认设置。
8. 注入缺陷：API 应保护免受注入攻击，例如 SQL、NoSQL 和命令注入。
9. 资产管理不当：API 需要正确的版本控制，并停用过时 API，以防止访问已弃用的功能和数据。
10. 日志记录和监控不足：应进行充分的日志记录、监控和警报，以实时检测并响应恶意活动。

每个风险都需要仔细考虑和缓解，以确保 API 免受潜在威胁，并保证数据的完整性和隐私。对于组织来说，依据这些风险定期检查其 API 安全性，以保持强健的安全态势是至关重要的。

结论

保护 API 是一项持续的工作，需要保持警惕并适应新出现的威胁。通过遵循最佳实践和实施有效的安全模式，组织可以建立弹性的 API 安全体系。无论是采用最小权限原则、将先进的安全技术集成到 API 开发生命周期中，还是在 CI/CD 流程中进行自动化安全测试，零信任架构都可以有效提升安全性。运用这些策略，API 可以成为数据流动的安全渠道，使企业能够在数字化领域中自信地创新和运营。

原文链接：API Security: Best Practices and Patterns To Securing APIs