本章节汇总了原API网关中API安全相关问题。
API安全问题
API安全
移动端的AppKey安全怎么保障?
AppKey是您调用API的身份标识,具有较高的敏感性,需用户妥善保管。一旦丢失,需尽快到阿里云控制台进行修改。
如何保证网关到后端服务器的调用安全?
您可以在API网关配置安全密钥,亦可使用HTTPS对请求进行加密。
使用安全密钥:
您可以单独为每个API设置密钥,当您设置密钥以后,网关会对请求按网关既定方法签名(参见文档后端签名插件)。
您需要以同样的方式对签名进行验证,以保证请求真实、有效。
使用HTTPS加密:
使用HTTPS前,需确保您有相应的SSL证书。
更换后端密钥是否需要发布API?
不需要,在控制台创建您的新密钥,并绑定API即可。
如何不中断服务更换后端密钥?
如果需要不中断升级您的密钥,那么首先要保证不止一台服务器在支撑您的后端服务,然后您可以按如下步骤操作:
要升级您的后端服务,兼容新旧两个key。
在网关中修改您的后端密钥。
调整您的后端服务,去除对旧key的支持。
如何给指定人开放API?
API网关,提供访问权限控制功能,您可以在控制台,为每个API配置访问权限。