Обеспечение API с использованием apigee

Question

У меня есть сервер, на котором находится мой апи ->http://000.000.0.000:8080/todos

Я использовал apigee для управления моей апи безопасности. ->http://inscripts-test.apigee.net/v1/api/todos?apikey=myapikeyhere

Это два URL-адреса, один из которых находится на моем сервере, и один, который apigee генерировал для меня, используя ключ api.

В идеале все запросы api, сделанные на адрес http://000.000.0.000:8080, должны быть отклонены, а звонки должны быть разрешены только до http://inscripts-test.apigee.net.

Я новичок в мире API, пожалуйста, помогите мне понять, как эти вещи безопасности должны работать.

Answer 1

Прежде всего: Вы, вероятно, не хотите раскрывать свой апикей, отправляя его в StackOverflow. Если вы можете, вы хотите перейти на страницу «Приложения для разработчиков» и восстановить свой ключ:

Заблокировать ваш сервер требует изменений на бэкэнд, а также может потребоваться внесение изменений на уровне Apigee. Чтобы по-настоящему заблокировать ваш сервер, вы хотите разрешить доступ только через https. В противном случае ваш трафик и любые меры безопасности могут быть скомпрометированы между Apigee и вашим сервером.

Учитывая ваши изменения, чтобы использовать протокол HTTPS, у вас есть несколько вариантов:

1. Вы можете потребовать аутентификации (имя пользователя & пароля) и изменить свой бэкенд, чтобы разрешить только авторизованным пользователям. Затем назначьте шлюз имя пользователя и пароль и включите их в сообщения.
2. Возможно, ваш самый безопасный и, возможно, самый простой, если вы разрешаете только https: вы можете использовать двухстороннюю SSL-аутентификацию между Apigee и вашим бэкэнд. Ваш бэкэнд подтверждает, что только сертификат Apigee разрешен для подключения к вашему серверу. См. this doc on setting up Apigee to target SSL.