我很想听听大家对这个问题的看法。
我有一个在苹果商店的前端应用程序。它与我们构建并部署在EKS集群上的自定义JavaScript api交互。集群和集群的EC2实例位于AWS的私有子网中,但通过位于公共子网中的应用程序负载均衡器向外界公开。
由于前端应用程序位于apple服务器上,我想不出一种简单的方法来安全地访问AWS中的api而不将它们暴露给外界。这就是我的想法:
- 使用API密钥。不太理想,因为键仍然可能从标题 中抓取。
- 通过acl和安全组限制对apple服务器网络api的访问。同样,这似乎不是可以实现的,因为苹果没有提供网络CIDR(据我所知)
- 建立某种SSH隧道
我在这个问题上遇到了瓶颈,如果有人有类似的问题,我真的很感激。
谢谢!
在Google CDP中,您可以使用另一种类型的ACL来监视客户端URL。如果请求不是来自你的。frontend.app,它们将被拒绝。检查是否可以在AWS中找到
我建议在你的项目中进一步考虑一下:
1)。CSRF策略。向客户端应用令牌,这些令牌必须在请求API时提供。AccessLimiter。为您的客户端维护指纹或会话,并根据需要计数/限制请求。例如,如果请求之前没有经过索引文件,则由于客户端没有收集令牌,因此不可能有请求。