节流&用户配额 - 令牌管理

时间:2017-06-29 15:20:42

标签: api security throttling quota api-management

我想为访问我的API的用户实施配额,但我不确定我想到的流程是通过简单地阅读来自多个API管理解决方案的文档来实现的。

目前,我的流程可以描述如下:

  1. 用户向应用提供凭据
  2. 该应用程序调用我的授权服务器进行验证。如果成功,则会将令牌返回给用户。
  3. 在以下请求中,应用程序将在访问服务之前针对授权服务器验证令牌(授权标头)。
  4. 我的问题是我无法基于令牌实施配额,因为我的用户可以获得新令牌以避免限制。根据您的经验,是否可以在网关级别管理用户的配额,还是应该更改我的API身份验证方法?

    致以最诚挚的问候,

1 个答案:

答案 0 :(得分:0)

当我们谈到api和令牌时,最常用的通信模式是协议 OAuth 2.0

通过它,API用户必须对其各自的OAuth身份验证服务器进行身份验证(它可能是第三方服务器,例如facebook或google)。

使用令牌并且此令牌是具有有限生命周期的令牌时,公开的API必须针对OAuth资源服务器验证此令牌,该服务器将识别谁将是请求的客户端/应用程序。

因此,使用OAuth令牌可以识别请求者。

如果您不使用任何API管理/网关市场参与者(例如:apigee),则必须使用 高性能查询引擎 来实施此控制。对于更简单的解决方案,键值对数据库可以解决此问题(例如redis)。