我正在开发一个 Web API,它将被同一 Azure 主机中的其他 Web 应用程序以及其他 3rd 方服务/应用程序调用。我目前正在研究 API 应用程序和 API 管理,但在安全实施方面我有几件事不清楚:
- API App 使用 API 管理实现时是否需要认证?如果是,有哪些选择?此链接http://www.kefalidis.me/2015/06/taking-advantage-of-api-management-for-api-apps/提到“请记住,没有必要对 API 应用程序进行身份验证,因为您可以在 API 管理上启用身份验证并让它处理所有细节。” 那么这意味着让 API App 身份验证公开匿名吗?但是知道API App的直接URL的人可以直接访问它。
- 实现 API 管理安全性的最佳方法是什么?教程中提到的(在标头中传递了原始订阅密钥)似乎容易受到中间人攻击
- API App 与普通 Web API 项目相比,增加了哪些优势?
提前致谢。