如果后端有自己的身份验证,则API网关实现的最佳实践
如果后端有自己的身份验证,则API网关实现的最佳实践
提问于 2022-10-06 14:29:41
我知道API网关提供的一个功能是为任何后端API提供一个安全层。但是,如果后端已经有了自己的身份验证(假设api密钥、jwt或其他),怎么办?什么是更好的办法/最佳做法:
- 将这些后端API修改为“纯API”(没有任何auth),因此将只依赖于API网关auth (OAuth2)
- 保持后端auth的原样,但随后创建一个充当包装器API的微服务来处理后端auth.
。
这样做的目的是防止双重身份验证&将相同的体验提供给那些只需要通过1身份验证(即API网关)的客户端。谢谢!
回答 1
Stack Overflow用户
回答已采纳
发布于 2022-10-06 20:30:32
我会保持后端API的安全性。在API网关后面进行安全通信是没有问题的。事实上,我记得这是一种建议的做法。
为了防止双重身份验证,是否建议在API网关上定义一个公共(不安全)端点,以访问后端服务使用的身份验证服务器的身份验证端点。客户端从该身份验证服务器接收身份验证令牌,而API网关将令牌传递到后端服务的API。
另一种可能是对API网关进行身份验证,但让API网关使用与后端服务相同的身份验证服务器。有些网关允许您将身份验证转发到API网关之外的某个身份验证服务器。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/73975543
复制相关文章
相似问题
腾讯云开发者
