我正在与微生物架构师学习API。这是关于设置的小描述
客户请求流程
客户端使用带有JWT令牌的microservice1请求API1,该令牌将在API网关上进行身份验证,然后将从microservice1提供信息。这很好。
但我有一个私人API2,不应该从客户端允许。只有内部应用程序可以使用它,但它应该可以根据客户端的另一个请求进行调用。
例如。
client request -> /API/Gateway1 (has JWT)
/API/Gateway1 -> API1 (has valid user)
API1 -> /API/Gateway2 (has valid user)
/API/Gateway2 -> API2 (has valid user)
问题:
如何保护API2免受客户端的影响,如果客户端伪造有效的用户头,该怎么办。
答案 0 :(得分:3)
您要做的是阻止API2接受外部流量,例如,您可以通过多种方式执行此操作: -
答案 1 :(得分:0)
看起来你根本就不需要在API2上使用REST端点。
上述@Dayo Adeyemi的建议是正确的,但如果有一项服务需要保密,那么就不需要在那里编写REST端点代码了。