Защита API микросервиса за шлюзом Kong API - PullRequest
0 голосов
/ 23 октября 2018

Я экспериментирую с шлюзом Kong API.У него есть приятные функции, такие как ключ API и аутентификация HMAC через плагин, поэтому мне не нужно внедрять собственную защиту в каждый из моих API.

Но, похоже, это компромисс.Предположим, у меня есть платежный сервис.В нем мне нужно проверить ключ API, поэтому я создаю перехватчик запросов для каждого запроса к платежной службе, должен предоставить действительный ключ API.

Я использую kong в качестве обратного прокси-сервера для восходящего сервера платежей.Я также хочу перенести проверку ключа API в Гонконг, чтобы моя платежная служба (и другая служба) превратилась в незащищенный API.Это кажется хорошим, так как мне не нужно переписывать перехватчики для каждого сервиса.Но если кто-то знает IP-адрес платежного сервиса, он может напрямую обратиться к платежному сервису без шлюза Kong API.

Что мне нужно сделать для достижения этих целей:

  1. использовать kong в качестве шлюза API(обратный прокси-сервер)
  2. использовать плагин kong для проверки (ключ API / basic / HMAC), поэтому мне не нужно перенастраивать их в моих службах
  3. избегать дыр в безопасности, если кто-то знаетадрес API, и попадайте на них напрямую (в обход безопасности kong), но сохраняются # 1 и # 2, поэтому программисты API пишут простой API, но сохраняют безопасность

Заранее спасибо

...