标签: api-security

是否可以使用 WSO2 API 管理器版本 3 删除我的 api 列表中某些特定请求的安全性。

例如，我有以下请求

/customer - post
/products - get
/customer/address - get

在我的情况下，我不需要安全性/products - get。

更新

我尝试了@Pubci 获取请求响应的建议

Invalid Credentials. Make sure your API invocation call has a header: 'Authorization : Bearer ACCESS_TOKEN' or 'Authorization : Basic ACCESS_TOKEN' or 'apikey: API_KEY

目前，我们有多个不在网关后面的 API。公开公开的 API 使用 OpenID Connect 进行身份验证和声明授权。某些 API 仅供内部使用，并且受防火墙保护网络安全。

我们计划在我们的 API 之前设置 Kong Gateway Enterprise。我们应该能够在网关处集中来自公共客户端的令牌验证。我们也可以集中一些基本授权（例如范围）。上游 API 中可能仍需要发生一些逻辑。因此，这些 API 仍然需要了解调用者（客户端和用户）的上下文。

理想情况下，我们希望能够拥有可以公开公开并在内部调用的 API，以避免重复逻辑。我想了解一些安全的方法来让 Kong 实现这一点。我仍然不清楚如何设置网关后面的系统。

我的一些问题是：

• 我们应该同时拥有内部网关和外部网关吗？是否有关于如何选择何时创建单独网关的指导？
• 如果我们在一条链中有多个上游服务，如何传递身份验证上下文？
  • 自定义标头？
  • 传递原始 JWT 吗？
• 如何让服务安全地响应内部和外部调用？
  • 我们可以设置一个网格并使用 mTLS，但是 mTLS 和网关之间传递身份验证上下文的方法不会有所不同吗？
  • 我们可以从 Kong 设置自定义标头，并让其他内部服务也渲染它们。但由于这不在智威汤逊中，我们是否会失去声明的真实性？
  • 我们可以让每个调用者（包括内部服务）获得自己的令牌，但这可能会使客户端和机密的数量难以管理。另外，它无法处理这些服务仍然代表用户作为早期请求的一部分进行操作的情况。
  • 或者我们可以继续保持内部和外部服务分开，但重复一些逻辑。

其他一些可能有用的注释：

• 除了我们的 OIDC 提供商之外，没有其他现有的 PKI。
• 服务不会全部被容器化。想想 EC2 上的 IIS。
• 服务大多是 REST 式的。

我正在使用 Google 的 Perspective API 并拥有 API 密钥。我已将其限制为我将要使用的特定域，但我想知道在我的代码中释放密钥是否安全？由于这将在客户端的浏览器中，我不想为此创建一个后端，但如果有必要，我会这样做。

本质上：共享受域限制的 API 密钥是否安全？

我正在尝试在我的 Web API 中实现 JWT 身份验证。我是第一次这样做。当我在 Google 上搜索一些教程时，第一步是显示将密钥保存在 appsettings.json 文件中。我被困在那个地方了。我如何知道并获取该密钥，以便将其存储在文件中。另外，我如何知道每个环境（即开发、测试和生产）的密钥。

提前致谢。