Я экспериментирую с шлюзом Kong API.У него есть приятные функции, такие как ключ API и аутентификация HMAC через плагин, поэтому мне не нужно внедрять собственную защиту в каждый из моих API.
Но, похоже, это компромисс.Предположим, у меня есть платежный сервис.В нем мне нужно проверить ключ API, поэтому я создаю перехватчик запросов для каждого запроса к платежной службе, должен предоставить действительный ключ API.
Я использую kong в качестве обратного прокси-сервера для восходящего сервера платежей.Я также хочу перенести проверку ключа API в Гонконг, чтобы моя платежная служба (и другая служба) превратилась в незащищенный API.Это кажется хорошим, так как мне не нужно переписывать перехватчики для каждого сервиса.Но если кто-то знает IP-адрес платежного сервиса, он может напрямую обратиться к платежному сервису без шлюза Kong API.
Что мне нужно сделать для достижения этих целей:
- использовать kong в качестве шлюза API(обратный прокси-сервер)
- использовать плагин kong для проверки (ключ API / basic / HMAC), поэтому мне не нужно перенастраивать их в моих службах
- избегать дыр в безопасности, если кто-то знаетадрес API, и попадайте на них напрямую (в обход безопасности kong), но сохраняются # 1 и # 2, поэтому программисты API пишут простой API, но сохраняют безопасность
Заранее спасибо