Аутентификация (токены, API key); HTTPS; rate limiting; валидация ввода; авторизация по ресурсам; логирование и мониторинг; не раскрывать лишние данные в ошибках.