API网关可以为前端应用提供统一、安全的API代理服务,并根据应用提交的标识不同而分配不同的权限,以达到权限最小化分配。由于业务系统都是独立部署,并且运行在不同的平台上。因此,在确保业务系统能够独立运行的前提下解决统一身份认证、统一授权的问题,可以满足:
集中管控:能实现API服务的集中管理与发布;
身份认证:除了传统的用户名/口令认证外、API网关采用JWT方式认证应用身份;
访问控制:允许用户定义合适的API访问策略,比如API服务的请求频率,请求次数,请求时间段;
链路加密:使用密码技术和隧道协议来提供网络的保密性、认证性及信息完整性。
API管理:API网关可以实现API服务的统一管理个发布
身份认证:系统支持通过JWT和HMAC凭据进行身份认证的功能
访问控制:API网关具有细颗粒度的访问控制能力,支持授权访问
数据变更:作为API代理服务器,支持对API请求的变更及对API响应的变更
流量管控:支持基于请求内容长度、请求频度、请求连接数、访问时段等进行流量控制
健康检查:具有主动和被动两种方式检查API服务的能力,可以单独使用或结合使用
超时与熔断:跟踪并记录后台应用访问超时时间,当响应超时,网关直接返回预置的的异常数据,如果某个API服务连续多次请求无响应,系统会自动熔断对该API的请求
安全传输:在应用效率需求至上的应用场景条件下,用户可以自行选择通信链路是否需要加密保护
高可用性:支持预警、支持系统自保护、支持对API服务的负载
监控审计:记录应用的访问过程,支持将日志信息发送到审计服务器,支持对系统硬件资源使用率的实时监控
随着应用移动化以及传统Web网站的前后端分离技术普及,API接口已经广泛应用于APP、客户端、网页等应用场景中,用于处理用户端与服务器之间的业务数据交互;IT管理员们通常也会利用API接口对服务后台进行配置、管理、协调和监控。
API接口都存在的安全隐患:
1、 不能集中管控API服务:各个API分布在不同的微服务架构中,统一管控困难重重;
2、 没有有效的认证机制:用户名口令的的身份验证方式是使用最为广泛的身份认证方案,采用用户名口令的验证方式存在极大的隐患数据传输不安全;
3、 API被恶意调用:API被前台应用恶意调用会极大降低API服务的可用性及性能;
4、 数据传输不安全:当前大部分的业务系统使用HTTP协议进行数据传输,由于HTTP是明文传输,所以只要通过抓取数据包,就可以窃取用户信息。
API网关为前端应用提供统一、安全的API代理服务,并根据应用提交的标识不同而分配不同的权限,以达到权限最小化分配。
API网关典型部署方式
我要咨询