我想为访问我的API的用户实施配额,但我不确定我想到的流程是通过简单地阅读来自多个API管理解决方案的文档来实现的。
目前,我的流程可以描述如下:
我的问题是我无法基于令牌实施配额,因为我的用户可以获得新令牌以避免限制。根据您的经验,是否可以在网关级别管理用户的配额,还是应该更改我的API身份验证方法?
致以最诚挚的问候,
答案 0 :(得分:0)
当我们谈到api和令牌时,最常用的通信模式是协议 OAuth 2.0 。
通过它,API用户必须对其各自的OAuth身份验证服务器进行身份验证(它可能是第三方服务器,例如facebook或google)。
使用令牌并且此令牌是具有有限生命周期的令牌时,公开的API必须针对OAuth资源服务器验证此令牌,该服务器将识别谁将是请求的客户端/应用程序。
因此,使用OAuth令牌可以识别请求者。
如果您不使用任何API管理/网关市场参与者(例如:apigee),则必须使用 高性能查询引擎 来实施此控制。对于更简单的解决方案,键值对数据库可以解决此问题(例如redis)。