TG:@yunlaoda360
认证授权
- 使用简单认证(AppCode) :API 网关提供客户端请求的简单认证方式,客户端和 API 网关之间务必使用 HTTPS 进行通信。
- 使用摘要签名认证:当发布的 API 需要通过摘要签名认证方式时,需要根据签名密钥对请求内容进行签名计算,并将签名同步传输给服务器端进行签名验证。这种方式可以验证客户端请求的合法性,防止请求数据在网络传输过程中被篡改。
- 基于 JWT 的 token 认证:阿里云 API 网关在 JSON Web Token(JWT)这种结构化令牌的基础上实现了一套基于用户体系对用户的 API 进行授权访问的机制。客户端向 API 网关发送请求时携带 token,API 网关使用用户插件中配置的公钥对请求中的 token 进行验证,验证通过后,将请求透传给后端服务。
- 配置消费者认证策略:开启消费者认证后,需为当前接口绑定消费者授权关系。可以选择 API key、JWT 和 HMAC 等认证方式。
数据加密
- 使用 HTTPS 加密:使用 HTTPS 前,需确保有相应的 SSL 证书。通过 SSL/TLS 加密协议,API 网关可以保护数据安全,防止中间人攻击。
- 配置安全密钥:可以单独为每个 API 设置密钥,当设置密钥以后,网关会对请求按网关既定方法签名。
流量控制
API 网关可以对 API 请求进行流量控制,防止恶意攻击和过度请求。通过设置请求频率限制、并发连接限制等策略,API 网关可以保护后端服务免受攻击。
日志记录与监控
- 日志记录:API 网关可以记录所有 API 请求的详细信息,包括请求来源、请求内容、响应状态等。这些日志信息有助于企业进行安全审计和问题排查。
- 监控与告警:原 API 网关的监控和告警功能支持查看 region(地域)、分组、以及 API 的监控图表。通过云监控对 API 网关进行监控和告警设置,可以及时发现和解决安全问题。
防护措施
- WAF 接入配置:可以配置 WAF,对 API 网关上发布的 API 进行增强安全防护。
- DDoS 防护:API 网关提供了 5G 的 DDoS 基础防护,针对大流量 DDoS 攻击,建议使用阿里云 DDoS 高防服务。
