管理API的需求源自于Web API开展业务。从2006年开始,然后逐渐成熟,并在2016年之前进入市场。无论是通过代理现有API的管理网关、本身作为用于部署API本身的网关的一部分,还是作为连接层在代码中,API管理就是针对API进行编辑、测试、发布、身份验证,计量,分析报告、监控等。在过去十年中,API管理提供商共同定义了一些使用Web API完成业务的常用方法。虽然API技术非常技术化,但它依旧与API业务密切有关,并且通过使用Web提供对数据,内容,算法和其他数字资源的访问所产生的价值。下面将通过几个关键词的形式说明API管理的重要性和实现方式。
1.安全性:
API认证
- 如果你经常向合作伙伴提供API访问权限,那限制API访问合作伙伴IP地址的防御力(白名单)非常强大。但你仍需要进行身份验证和速率限制,只要将流量减少到只有已知的合作伙伴,这会消除在对更广泛的互联网开放的API上看到的大量恶意流量,例如蛮力企图获取访问权限和拒绝服务攻击。即便使用IP白名单,建立API网关仍然是最佳做法。这有助于身份验证并确保后端仅接收正确返回的API调用。
- 最常见的是OAuth和OAuth2,用于在API之间进行通信和保护通信。即便使用OAuth,其他人的Token也可能是一个问题。如何管理Token的生命周期?Token是否得到刷新?在一些成功的基础架构中,使用了一次性Token来严格限制正在尝试的操作类型,它是一种归结为安全Token管理和基于证书的身份验证。
- 在授权之前始终对API进行身份验证 ,有许多方法可以进行API身份验证,但多因素身份验证是常用的方法。对于API,使用外部进程(例如通过OAuth协议)获取访问To
最低0.47元/天 解锁文章
780
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
