使用 apigee 保护 API

【问题标题】:Securing API using apigee使用 apigee 保护 API
【发布时间】:2014-08-13 15:00:34
【问题描述】:

我有一个托管我的 api 的服务器 -> http://000.000.0.000:8080/todos

我使用 apigee 来管理我的 api 安全性。 -> http://inscripts-test.apigee.net/v1/api/todos?apikey=myapikeyhere

这是两个 URL,一个来自我的服务器,一个是 apigee 使用 api 密钥为我生成的。

理想情况下,向http://000.000.0.000:8080 地址发出的所有 api 请求都应该被拒绝,并且应该只允许对http://inscripts-test.apigee.net 地址的调用。

我是 API 领域的新手,请帮助我了解这些安全功能应该如何工作。

【问题讨论】:

    标签: api security apigee


    【解决方案1】:

    首先要做的事情: 您可能不想通过将 apikey 发布到 StackOverflow 来公开您的 apikey。如果可以,您将需要进入开发者应用页面并重新生成您的密钥:

    锁定您的后端需要在后端进行更改,并且可能还需要在 Apigee 层进行更改。要真正锁定您的后端,您需要只允许通过 https 进行访问。否则,您的流量和任何安全措施可能会在 Apigee 和您的后端之间受到影响。

    鉴于您更改为使用 https,您有一些选择:

    1. 您可以要求身份验证(用户名和密码)并将您的后端修改为只允许经过身份验证的用户。然后为网关分配用户名和密码,并将它们包含在通信中。
    2. 如果您只允许 https,这可能是您最安全的,并且可能是最简单的:您可以在 Apigee 和您的后端之间使用 2 路 SSL(相互身份验证)。您的后端验证仅允许 Apigee 证书连接到您的后端。见this doc on setting up Apigee to target SSL

    【讨论】:

    • 好吧,我想第二个选项适合我。谢谢。
    猜你喜欢
    • 2014-11-22
    • 2013-11-29
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-07-22
    • 2014-12-28
    • 2020-09-13
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode