私有和公共方面的 API 安全性

Question

首先我想为我糟糕的英语道歉，我来自荷兰。

在学校实习期间，我在最后几天阅读了很多关于 API 的内容并观看了很多视频。但安全选项对我来说并不清楚。我读过一些关于 Oauth、saml 和 openID 的文章，但我不知道在我的情况下可以使用哪个。

这就是我要创造的情况。我需要添加 2 个安全性。一个用于私有（内部）端，一个用于公共端。

私人（内部）方面

对于私人方面，我找不到任何解决方案。我想我可以使用 oauth 。但我无法找到有哪些流程以及 webflow）不知道我需要使用哪个流程。 This one is what i mean (youtube) 我也读过stackoverflow上的主题，但我找不到这个问题的明确答案。

私有端的后端永远不会改变，私有端也永远不会有更多的 api 网关或后端。无需任何人访问后端，只需 API 网关。

公众方面

在公共方面有很多类型的客户端，但他们不需要使用凭据登录。我只想知道哪个应用程序使用我们的 API 以及它们建立了多少连接。我将能够禁用来自一个客户端的访问权限。我也是通过oauth出来的。但是我发现的流程适用于用户凭据，但我不需要识别每个个人用户。

能否帮助我找到适合我情况的良好或最佳实践安全方法？

Answer 1

您不必关心 OAuth。 (1) 向每个客户端应用程序颁发一对 API 密钥和 API 机密（= API 凭据）并且 (2) 要求对 Web API 的 API 调用随附 API 凭据就足够了。

仅当您的 Web 服务具有最终用户并且您希望允许第三方客户端应用程序以受限权限访问最终用户的数据时，才需要 OAuth。