我已经在亚马逊API网关上部署了我的其余API,我面前有一个安全问题的场景。我正在使用api密钥来处理所有api请求,我想知道api密钥是否以某种方式暴露出来,因为我们知道已经发布的应用程序正在使用相同的api密钥......那么我的选择是什么?
同样如此处所述,如果我希望api密钥对每个用户来说是唯一的,那么每个AWS账户只能拥有10000个API密钥,因为它更安全,但如果用户数量超过10000则会怎样。 / p>
答案 0 :(得分:2)
建议不要使用API密钥进行授权。从每个API密钥收到的呼叫都会受到监控,并包含在您可以为每个阶段启用的Amazon CloudWatch Logs中。
您应该使用API密钥来监控第三方开发人员的使用情况,并利用更强大的授权机制,例如IAM或custom authorizers。