5

我正在开发一个 Web API,它将被同一 Azure 主机中的其他 Web 应用程序以及其他 3rd 方服务/应用程序调用。我目前正在研究 API 应用程序和 API 管理,但关于安全实施有几件事我不清楚:

  1. API App在实现API管理时是否需要认证?如果是,有哪些选择?此链接http://www.kefalidis.me/2015/06/taking-advantage-of-api-management-for-api-apps/提到“请记住,不必在 API 应用程序上进行身份验证,因为您可以在 API 管理上启用身份验证并让它处理所有细节。” 那么这意味着对公共匿名进行 API 应用程序身份验证吗?但是知道 API App 的直接 URL 的人可以直接访问它。
  2. 实现 API 管理安全性的最佳方式是什么?教程中提到的那个(在标头中传递了一个原始订阅密钥)似乎很容易受到中间人攻击
  3. API App 与普通的 Web API 项目相比,增加了哪些优势?

提前致谢。

4

1 回答 1

4

我可以从 API 管理的角度来回答。为了保护 API Mgmt 和后端之间的连接(有时称为最后一英里安全),有几个选项:

  1. 基本身份验证:这是最简单的解决方案
  2. 相互证书身份验证:https ://azure.microsoft.com/en-us/documentation/articles/api-management-howto-mutual-certificates/ - 这是最常见的方法。
  3. IP 白名单:如果您有标准或高级层 APIM 实例,代理的 IP 地址将保持不变。因此,您可以配置防火墙规则以阻止未知 IP 地址。
  4. JWT 令牌:如果您的后端能够验证 JWT 令牌,您可以阻止任何没有有效 JWT 的调用者。

该视频也可能有帮助:https ://channel9.msdn.com/Blogs/AzureApiMgmt/Last-mile-Security

我认为该文档意味着您可以在 APIM 中进行 JWT 令牌验证。但是,为了防止有人直接调用您的后端,您必须在您的 Api 应用程序中实现上述选项之一

于 2015-09-08T18:57:40.103 回答