随着互联网的快速发展,企业应用都在不断更新迭代。与此同时,网络中的攻击也在不断地增多,应用安全的重要性也越来越凸显出来。应用安全主要集中在身份验证、访问控制、消息加密和攻击检测这几个方面。目前提出的大多数网络攻击防范和检测方法只针对某一类特定的攻击。然而在真实的网络环境中,多种攻击经常会同时发生。本论文的研究目标就是研究在基于API网关的架构中如何实现这几类应用安全防范技术,并着重针对攻击检测做相应优化达到更优的检测效果,有效地保护API网关及企业应用的安全性。本文最后使用实际案例对论文所提出的应用安全技术进行验证。本文的主要工作如下:（1）实现用户身份验证和访问控制。采用JWT令牌与用户名密码结合验证身份,设置令牌存活时间,防止登录绕过和身份伪造,并在系统不同页面跳转和用户发送请求时校验令牌。在访问控制方面,应用RBAC模型,设置角色管理模块,通过角色关联用户。在功能模块设置权限管理,用户对角色分发权限,实现企业内外应用权限分离。（2）引入消息加密机制防止信息泄露。使用开源Java Script加密库Crypto-js实现网关管理中的消息加密,前端界面发送往后端的信息加密传输,并通过接口调用实现功能复用,让后端发往前端的数据也同样加密传输,保护网关信息安全。Crypto-js提供多种加密算法如AES、RSA、SHA等,防止被篡改或窃取。（3）针对URL及外部信息输入进行攻击检测。过去常见的攻击检测方式都是局限于建立简单的字符规则过滤攻击或精确匹配方式识别攻击,无法及时发现新的攻击类型和手段。人工智能技术的出现为安全检测技术提供了新的解决方案,利用人工智能技术改进攻击检测,学习正常或异常网络行为模式,准确识别攻击。采用基于深度学习的三个模型（GRU、LSTM、CNN）设计并改良检测模型,再进一步融合模型,设计CNNGRU和CNN-LSTM实现优化检测效果。将最佳模型应用于API网关外部输入和URL检测,结合消息加密,实现更优安全防范效果。在基于API网关的企业应用架构日益普及的情况下,实现API网关和企业应用的访问控制、消息加密和攻击检测,将企业应用的安全性提升到更高的水平,具有较高的实用价值。