私人和公共方面的API安全

时间:2015-12-10 14:59:44

标签: api security oauth saml

首先,我想为我糟糕的英语辩护,我来自荷兰。

对于学校实习,我读了很多关于API的最后几天,并观看了很多视频。但安全选项对我来说并不清楚。我读过关于Oauth,saml和openID的事情,但我不知道在我的情况下我可以使用哪些。

enter image description here

这是我要创造的情况。我需要添加2个安全性。一个用于私人(内部),一个用于公共方面。

私人(内部)

对于私人方面我找不到任何解决方案。我想我可以使用oauth。但我无法找到哪些流量和webflow)不知道我需要使用哪种流量。 This one is what i mean (youtube)我还阅读了有关stackoverflow的主题,但我无法在这个问题上找到明确的答案。

私人方面的后端永远不会改变,私人方面永远不会有更多的api网关或后端。没有人需要访问后端,只需要访问API网关。

公众方

在公共方面,有很多类型的客户,但他们不需要使用凭据登录。我只想知道哪个应用程序使用我们的API以及它们建立了多少连接。我将能够从一个客户端禁用访问。在这里我也是由oauth出来的。但我找到的流程是用户凭证,但我不需要识别每个infividualy用户。

有些人可以帮助我为我的情况找到一个好的或最佳的安全方法吗?

1 个答案:

答案 0 :(得分:0)

您不必关心OAuth。这足以(1)向每个客户端应用程序发出一对API密钥和API密钥(= API凭证),以及(2)要求对API API的API调用附带API凭证。

只有当您的网络服务拥有最终用户并且您希望允许第三方客户端应用程序以受限制的权限访问最终用户的数据时,才需要OAuth。