标签: security openapi
我们有一个OpenAPI定义(json,使用swagger),我想知道有什么好的做法来解决安全问题:
我可以公开openapi.json文件(并通过使用openapi定义内的安全性要求来限制对服务本身的访问),或者我已经可以保护openapi.json资源,从而隐藏对哪些服务的描述可用。
当然,提供更少的信息更安全,但是这会使与依赖OpenAPI的工具的接口更加复杂。您的经验是什么?有什么好的做法?公共OpenAPI定义会在安全审核中被标记吗?