Должен ли я разрешить доступ к нашим API-интерфейсам от клиентов, кроме моего собственного приложения?

Question

Я пишу веб-приложение, состоящее из веб-интерфейса, разработанного в angular, а также мобильное приложение. Я определяю микросервисную архитектуру, которая предоставляет несколько веб-API. Большинство из них требует, чтобы пользователь прошел аутентификацию, но другие предоставляют данные публично. Теперь при таком подходе каждый может получить доступ к API-интерфейсам с использованием разных клиентов, например почтальона. Конечно, для большинства из них они должны будут представить учетные данные и получить токен доступа. Интересно, это правильный путь к go. Чтобы пользователь мог зарегистрироваться на моей платформе, используя клиент, отличный от моего приложения, потому что в конечном итоге это только публичный API. Также для аутентифицированного, я не должен беспокоиться, откуда запрос приходит, пока пользователь аутентифицирован? Итак, в конце концов, при предоставлении такой архитектуры мы должны разрешить пользователям доступ к нашему API и данным независимо от используемого клиента?

Answer 1

Вот немного пищи для размышлений:

Используйте бэкэнд для внешнего интерфейса : вы отображаете подмножество ваших API в новый бэкэнд и вводите дополнительные политики аутентификации и авторизации. Здесь вы, возможно, могли бы удалить доступ к конечным точкам publi c или применить аутентификацию также для них.

Пользователь должен иметь доступ к вашим API, как только у него появятся необходимые разрешения и он будет аутентифицирован.