现在有效管理移动设备的新型战略就是处理好过去使用的应用程序接口（API）。这种战略将管理的焦点从面向网页转向了一套更为丰富的API，这些API可以为多种多样的移动设备所访问。为此，组织机构需要考虑API生命周期管理，从而治理底层基础架构。

API作为提供信息的一种途径而存在，而且加强了组织机构的自我开发力量。组织机构需要考虑API版本控制以及遗留资产支持。他们也需要考虑将使用策略和集成安全的全球治理作为API生命周期管理的重要方面。这些领域的任何缺点都可以影响应用性能和可用性，而且会增加数据完整性、机密性和系统可靠性的风险暴露程度。当今API爆发的一个原因在于不断增长的移动设备和应用。治理模型在面向服务架构（SOA）上应用得当，但是组织机构通常错失了使用API的大好时机。

API：不同的服务

服务通常构建在整体应用的顶部，整体的应用可能提供了无数服务。组织机构打破应用，以便他们能够为其他应用重用服务。API是一种较新的现象。API的概念此前在管理传统计算机应用时已经得到应用，但是更新一代的API主要是基于表属性状态转移（REST）的，而且通过Web工作。这些更加适合移动应用，这个因素也驱动了它们的快速增长。

现在，API在总规划中的使用仍旧比较小。但是随着这个领域的不断发展，就需要改善生命周期管理和治理。反过来这也会影响组织机构如何管理API、API的不同版本以及通过测试和生产从开发促进API。API和服务依靠不同的协议，表现出不同的行为。API逐渐变得流行主要是因为移动应用开发的爆发。因为移动设备功能有限，开发者在创建应用时需要考虑可以消费简单的服务，这种服务基于Web或者基于JSON。很多旧的SOA概念也适用于API。这里有必要指出它们的区别，它们更加简单，在更多情况下，面向的范围更广。开发者社区也需要测试并文档化。

治理最佳实践通常需要维护法规遵从而强制执行。很多企业在合适的地方有策略可以维护本地敏感应用数据。有一些可以有完全的控制，数据只能用于本地应用。大型企业更希望管理内部企业应用之外的共享数据。在API管理中涉及四个角色：需要应用或者API的业务经理；创建这个API的开发者；运行API的人；以及负责促进开发者开发API的人。每一个角色都关注了API架构的不同部分。

捆绑粘合剂

良好的治理中最大的挑战在于大型企业拥有一套独立的组件，比如.NET、Java和开源。目前并没有一种很好的方式将这些改变成同质的架构。最终，需要大量的调解才能实现。

组织机构可能面临不同类型的认证和安全基础架构的混合，在它们之间也需要某种粘合剂。通过关注API，组织可以极大地简化信息发送到移动应用和其用户的管理。在异构的环境中，客户端可能支持安全声明标记语言（SAML）口令，同时后端服务器是基于微软的。API应该能够暴漏给平台即服务应用、移动设备、传感器以及其他类型的设备。伴随API和服务主要会发生的问题就是授权和认证。不太突出的问题是潜在的SQL注入，也可能给API导致安全风险。

第一步：考虑授权和认证。当一个用户调用一个API，这个应用本身需要被授权。其次，用户需要经过授权才能访问这个API。这些可以使用LDAP、单点登录或者活动目录。他们也可能调用新的授权标准，比如OAuth或者OpenID。让大量有效负载通过防火墙，黑客也可能会使用API发起类似SQL注入的攻击。

控制API生命周期

管理完整的API生命周期，从计划到创建再到部署，整个过程都很重要。良好的API管理包含了四步：计划、开发智力、运营智力以及被授权的开发者共享API。组织机构通常急着创建API，而缺少了生命周期管理或者治理。然后当想到版本控制时，他们就面临一些严重的问题。主要的问题：组织架构尝试快速构建某事物时，他们通常没时间好好考虑治理。随着API用例增长和部署的成熟，组织机构需要考虑管理API的不同版本，这就会导致组织的数据基础架构出现多种勾连。

API的生命周期管理应该控制好，只有允许的版本可以在不同的阶段投入生产：计划、开发、生产和退出。此外，关键的利益相关者，比如业务线经理、IT经理、信息安全人员以及法规人员，能够对API的状态有一个可视化。他们应该对于所寻求的正确的版本充满信心。另外，API应该经过验证和授权流程，从而确保企业IT资产不会被误用，威胁可用性或者泄露隐私。