阿里云API网关(11)API的三种安全认证方式

最新推荐文章于 2024-05-28 15:15:25 发布
最新推荐文章于 2024-05-28 15:15:25 发布
阅读量4.8k 收藏 10
点赞数
文章标签: java 后端 c#

网关指南: https://help.aliyun.com/document_detail/29487.html?spm=5176.doc48835.6.550.23Oqbl 

网关控制台: https://apigateway.console.aliyun.com/?spm=5176.doc42740.2.2.Q4z5ws#/cn-hangzhou/apis/list

一、安全认证:无认证

在阿里云的文档【API 网关 > 开放 API 接入 API 网关 > 2. 前端配置】说明https://help.aliyun.com/document_detail/48805.html?spm=5176.doc48805.6.546.YPtFTr :

  

二、安全认证:阿里云APP

三、安全认证:OpenConnect

1、获取授权 api

  • 获取授权API:向客户端颁发Token的接口。配置这个API时您需要告知API网关,您Token对应的Key和解析Token使用的公钥。

 

2、业务类接口

  • 业务类接口,是您实际的业务接口,比如获取用户息、进行某个操作等。配置这类API时,你需要告知API网关你请求中表示Token的参数名称。请求到达API网关后,API网关自动认证这个请求是否合法。

四、附录 - OpenID Connect 如何使用

OpenID Connect 是一套基于 OAuth 2.0 协议的轻量级规范,提供通过 API 进行身份交互的框架。较 OAuth 而言, OpenID Connect 方式除了认证请求之外,还标明请求的用户身份。
API 网关依据 OpenConnect 的标准,对用户请求进行 Appkey+Token 校验,Token 由 API 提供者的系统颁发,网关颁发 Appkey,并负责 Appkey、Token 的真伪校验。

实现原理

使用 OpenID Connect认证,将 API 分为 获取授权 API 和 业务 API 两类。
APi

API调用

  • 获取授权API:向客户端颁发Token的接口。配置这个API时您需要告知API网关,您Token对应的Key和解析Token使用的公钥。
  • 业务类接口,是您实际的业务接口,比如获取用户息、进行某个操作等。配置这类API时,你需要告知API网关你请求中表示Token的参数名称。请求到达API网关后,API网关自动认证这个请求是否合法。

认证方式

  1. 客户端调用 获取授权 API

    1. 客户端使用您的 Appkey 签名+用户名/密码 调用 获取授权 API 获取授权。

    2. API 网关收到请求后,先认证您的 Appkey,认证通过后,调用后端服务的账号系统认证您传递的 用户名/密码。

    3. 后端服务认证通过后,返回 Token 给您,您可凭 Token 来调用 业务 API。

  2. 客户端调用业务 API

    1. 客户端使用 获取授权 API 得到的 Token 和 签名后的 Appkey 来调用 业务API。

    2. API 网关认证、解析 Token 的内容,并将 Token 中包含的用户信息传递给后端。

    3. 在此阶段的操作中,API 的提供者需要事先进行如下操作:

      1. 开放账号系统,允许 API 网关对请求中 用户名/密码 进行验证,并依据网关提供的加密方式,颁发 Token。详细内容请参照下文 如何实现 AS 模块。
      2. 在 API 网关定义 API。详细内容参照下文 在 API 网关配置 API。
        注意:用户名/密码 是极为敏感的信息,在网络中明文传输存在风险,建议在传输前对用户名密码再次加密,并使用 HTTPS 协议传输。

实现方案简介

实现方案分为两个重要的部分:

1. Authorization server(AS):认证服务器,负责生成 id_Token 并管理公钥私钥对。

这一步需要您自行实现。实现方法,请参照下文 在 API 网关配置 API。
u_p

参考上图,流程简述如下:

  1. Consumer(调用者)向API网关发送获取 id_token 认证请求,比如:通过用户名和密码(U+P)的方式。
  2. API 网关透传该请求到 AS。
  3. AS 向 Provider(服务提供方)发送认证用户信息请求。
  4. Provider 响应认证结果,若失败则直接响应错误信息。
  5. 认证结果成功,AS 生成 id_token,id_token 中包含了 User 信息(可扩展,也可包含其他必要信息)。

  6. API 网关将 AS 返回的 id_token 响应给 Consumer。

    说明:AS 不用必须是单独部署的应用,完全可以集成在 Provider 中,在整个体系中担任 id_token 生产者角色,所生成的 id_token 必须符合 OIDC(1.0版本)协议中的 

最低0.47元/天 解锁文章
weixin_33965305
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API网关实现企业API治理,构建企业开放生态基础
yonyou_iuap的博客
05-18 655
企业集成过程中,API是基础,也是能力的统一出口。只有把API治理好,才能快速实现应用的系统,促进业务的协同,提供企业运转效率,才能支撑企业商业的数智化转型。 YonLinker旗下的API网关,提供完整 API 托管的服务,用于协助开发者轻松完成多系统集成及生态开放场景下,API 的创建、维护、发布、监控等整个生命周期的管理;支持各种协议API的接入、统一管理和安全调用。 API网关能力 全生命周期管理 覆盖设计、开发、测试、发布、废弃、下线等API各个..
API网关API安全性中的作用
小王的储物间
12-31 1230
从单一应用程序切换到微服务时,客户端的行为不能与客户端具有该应用程序的一个入口点的行为相同。简单来说就是微服务上的某一部分功能与单独实现该应用程序时存在不同。目前在使用微服务时,客户端必须处理微服务体系结构带来的所有复杂性,例如聚合来自各种服务的数据,维护多个端点,客户端和服务器之间的联系增加以及对每个服务进行单独的身份验证等,同时客户端对微服务的依赖性也直接导致了重构服务的困难。一种直观的方法是将这些服务隐藏在新的服务层后面,并提供针对每个客户端量身定制的API
Oauth2系列9:JWT令牌各种实现
weigeshikebi的博客
10-07 1642
Oauth2系列1:初识Oauth2Oauth2系列2:授权码模式Oauth2系列3:接入前准备Oauth2系列4:密码模式Oauth2系列5:客户端凭据模式Oauth2系列6:隐式模式Oauth2系列7:授权码和访问令牌的颁发流程是怎样实现的?Oauth2系列8:何谓JWT令牌?
什么是API 网关?为什么需要 API网关
最新发布
jjc4261的博客
05-28 1048
在维基百科中,网关的定义是这样的:在计算机网络中,网关(Gateway)是转发其他服务器通信数据的服务器,接收从客户端发送来的请求时,它就像自己拥有资源的源服务器一样对请求进行处理。有时客户端可能都不会察觉,自己的通信目标是一个网关。从定义可以看出,网关也是一组服务器,它位于客户端和服务器之间,是客户端请求进入服务器的唯一入口,
你的API网关有多安全
开源云中文社区
03-08 138
你的组织使用了多少API?我们谈论的是内部产品、外部服务,甚至是基础设施管理,如亚马逊的S3对象存储或Kubernetes。很多人不知道答案。在一次又一次的调查中,首席信息官和首席信息官承认他们并没有一份准确的API目录。然而,在继续采用以API为中心的技术范式(如云原生计算和微服务)的推动下,进一步使用API是不可避免的。根据Gartner软件工程研究主管Mark O'Neill在2022年分享...
REST API安全认证,我放弃OAuth 2.0 ,选择 JWT 令牌
公众号-老炮说Java
09-26 598
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达 关注公众号后台回复pay或mall获取实战项目资料+视频 作者:魔王不造反来源:blog.biezhi.me/2019/01/...
阿里云API网关调用事例源码
08-11
阿里云API网关调用事例源码 sign加密算法
阿里云API网关服务-API手册-D.docx
10-11
该资源摘要信息主要介绍了阿里云API网关服务的使用手册,涵盖了API网关的调用方式、调用示例、请求结构、加密签名、应用(APP)创建、授权等知识点。 一、API网关调用方式 API网关提供了两种调用方式:基于SDK的...
阿里云 专有云企业版 V3.8.1 API 网关 安全白皮书 20190910
04-05
阿里云 专有云企业版 V3.8.1 API 网关 安全白皮书 20190910
阿里云API网关服务-API快速入门-D.docx
10-11
阿里云API网关服务-API快速入门 本文将快速引导您通过API网关调用由其他API服务商开放的API服务。为了调用API,需要三个基础条件: API、应用APP和API与APP的权限关系。以下是API快速入门的详细知识点: 1. 获取...
阿里云API网关服务-API手册.pdf
10-11
阿里云API网关服务-API手册” 本手册提供了阿里云API网关服务的使用指南,旨在帮助用户快速了解并使用API网关服务。API网关阿里云提供的一项服务,允许用户调用由其他阿里云用户或者第三方服务商开放的API服务...
阿里云 专有云企业版 V3.8.1 API 网关 用户指南 20200304
04-05
阿里云专有云企业版V3.8.1 API网关用户指南主要涵盖了关于阿里云API网关的详细使用信息,适用于企业级别的云服务管理。API网关是云计算平台中的一个重要组成部分,它允许开发者和企业高效地管理和分发API,以实现...
阿里云 专有云企业版 V3.8.1 API 网关 技术白皮书 20190910
04-05
阿里云专有云企业版 V3.8.1 API 网关 技术白皮书 20190910】是阿里云针对其专有云企业版中API网关的一个详细技术文档,旨在为用户提供该版本API网关的功能、架构和使用指南。API网关作为微服务架构中的核心组件,...
阿里云API网关服务-API快速入门.pdf
10-11
阿里云API网关服务提供了一种高效、安全方式来调用API,无论您是从数据市场购买API服务还是通过第三方授权。本文档旨在快速引导用户熟悉API网关的调用流程,包括必要的三要素:API、应用APP和API与APP的权限关系。...
阿里云 专有云企业版 V3.8.1 API 网关 开发指南 20190910
04-05
阿里云专有云企业版V3.8.1 API网关开发指南是针对企业用户的一份重要文档,旨在帮助开发者理解和使用阿里云提供的API网关服务。API网关是云服务中的关键组件,它充当了应用程序与后端服务之间的桥梁,允许开发者管理...
API接口安全管控机制
何哥的博客
01-02 423
前言:直接把API暴露到互联网上给外部系统是存在安全风险的,对外的api接口往往对安全性有严格要求。像很多手机银行、第三方API接口、政务系统等大量的业务场景,通过API对外提供服务。这种情况大部分都暴露在互联网,存在较大的安全隐患。希望能在合规、管理、技术之间架起桥梁,成为一个数据安全的“翻译者”。
API网关
热门推荐
Chyson
10-24 2万+
API网关是一个服务器,是系统的唯一入口。从面向对象设计的角度看,它与外观模式类似。API网关封装了系统内部架构,为每个客户端提供一个定制的API。它可能还具有其它职责,如身份验证、监控、负载均衡、缓存、请求分片与管理、静态响应处理。
带你走进API安全的知识海洋(二)
A_991128a的博客
09-14 88
在上期API安全知识文章中,小编对API以及API安全的定义进行了一系列的阐述,本期文章将带大家深入了解API安全的相关知识。企业使用API来连接服务和传输数据。许多重大数据泄露问题,其幕后原因都在于API遭到破坏、泄露或攻击。受到攻击的API会让敏感的医疗、金融和个人数据公之于众,被不法分子利用。不过,并不是所有数据都是一样的,保护数据更不能以不变应万变。如何实施API防护,取决于传输的数据种类。
阿里云api网关认证方式介绍以及如何选择
a704397849的博客
04-20 3228
阿里云api网关认证方式介绍以及如何选择 首先,简单介绍下开放api的 签名认证 开放api 签名认证 能够在一定程度上防止信息被篡改和伪造,保障通信的安全,例如: 请求来源(身份)验证合法 请求参数防止被篡改 请求的唯一性(不可复制) 至于为什么开放api签名认证能保证上述提到的数据安全,可以在网上搜下’签名认证’,最好是能看看大公司(如果 阿里云,百度,讯飞等)提供的openapi 需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值