【发布时间】:2016-10-06 23:08:05
【问题描述】:
我已经在亚马逊 API 网关上部署了我的 REST API,并且我面前有一个涉及安全问题的场景。 我正在为所有 api 请求使用 api 密钥,我想知道该 api 密钥是否以某种方式公开,并且我们知道已发布的应用程序正在使用相同的 api 密钥......那我有什么选择?
也提到了here
如果我希望每个用户的 api 密钥是唯一的,那么我每个 AWS 账户只能拥有 10000 个 API 密钥以使其更安全,但是如果用户数量超过 10000 怎么办。
请提出相同的建议,因为它非常重要。
【问题讨论】:
-
我不确定您描述的“api 密钥”是否应该用于公众......我认为您需要研究您的应用程序设计。但话又说回来。我没用过api网关.....
-
我只是想知道 aws 如何使用 api-keys 保护 api,因为如果暴露,任何人都可以使用 api 密钥发出请求?
-
您如何建议将 api-keys 分配给用户?您可能需要查看 API Gateway Custom Authorizers。
-
我认为除了将密钥保密之外,没有任何方法可以保护使用密钥的 API。这就像在说“如果我丢失了房门钥匙,我怎么能锁好门?”一把钥匙,一把钥匙,一把钥匙。如果这对您的应用程序很重要,您可能需要研究其他授权方法。
-
esperluette 是正确的。 API 密钥应该是更大授权方案的第一部分。
标签: node.js amazon-web-services aws-api-gateway