在设计之初由于未充分考虑用户群体 或者具体的使用场景而未进行身份认证。身份认证的缺失导致相关 API 可被任 意访问，若相关 API 涉及敏感数据则会埋下严重的数据泄漏的隐患。 输入参数未校验导致的攻击：API 的参数组合及各参数值类型相对固定，这 些参数也决定着 API 返回的数据。若 API 未对参数值的类型进行校验则可能会 被攻击者利用来进行注入类攻击；若攻击者未将参数与用户身份进行关联则可能 会导致越权类攻击。 像任何其他使用无服务 器功能的应用程序一样，凭据和密钥的泄漏可能导致虚拟身份和数据泄漏。 2.6.3 身份认证攻击 Serverless 架构的应用是由几十甚至上百个函数组成，每个函数实现特定 的业务功能，这些函数组合完成整体业务逻辑。一些函数可能会公开其 Web API， 需要进行身份认证，另一些则可能只允许内部调用，所以不用进行身份认证，这 就使 Serverless 应用的整体身