Azure 最佳实践中的 API 安全

Question

我正在开发一个 Web API，它将被同一 Azure 主机中的其他 Web 应用程序以及其他 3rd 方服务/应用程序调用。我目前正在研究 API 应用程序和 API 管理，但在安全实施方面我有几件事不清楚：

1. API App 使用 API 管理实现时是否需要认证？如果是，有哪些选择？此链接http://www.kefalidis.me/2015/06/taking-advantage-of-api-management-for-api-apps/提到“请记住，没有必要对 API 应用程序进行身份验证，因为您可以在 API 管理上启用身份验证并让它处理所有细节。” 那么这意味着让 API App 身份验证公开匿名吗？但是知道API App的直接URL的人可以直接访问它。
2. 实现 API 管理安全性的最佳方法是什么？教程中提到的（在标头中传递了原始订阅密钥）似乎容易受到中间人攻击
3. API App 与普通 Web API 项目相比，增加了哪些优势？

提前致谢。

Answer 1

我可以从API管理的角度来回答。为了确保 API 管理和后端之间的连接安全（有时称为最后一英里安全），有以下几种选择：

1. 基本身份验证：这是最简单的解决方案
2. 相互证书身份验证：https://azure.microsoft.com/en-us/documentation/articles/api-management-howto-mutual-certificates/ - 这是最常见的方法。
3. IP 白名单：如果您有标准层或高级层 APIM 实例，代理的 IP 地址将保持不变。因此，您可以配置防火墙规则来阻止未知的 IP 地址。
4. JWT 令牌：如果您的后端能够验证 JWT 令牌，您可以阻止任何没有有效 JWT 的调用者。

此视频也可能有帮助：https://channel9.msdn.com/Blogs/AzureApiMgmt/Last-mile-Security

我认为该文档意味着您可以在 APIM 中进行 JWT 令牌验证。但是，为了防止有人直接调用您的后端，您必须在 Api 应用程序中实现上述选项之一