我们打算创建一个REST API,它将在100多个服务器上实现,供集中式管理门户(CMP)使用。该CMP本身将具有对API的完全访问权限(用于计划任务等),并且授权在CMP本身上完成。
作为一项额外的安全措施,所有100多个服务器的API只能从CMP的IP地址访问。
在这种情况下,使用OAuth2而不是作为环境变量存储在CMP上的一组API密钥(每个服务器都是唯一的)的安全性优势是什么?读到这里,我们的用例似乎有些不同。
最终,我们认为我们可以只向那些需要访问它的IP地址的子集开放CMP,然而,这可能不可能在以后的轨道上。
我会从客户的角度考虑API:
- web或移动客户端如何安全地调用API ?
- 最终用户身份如何流向API?
如果您不需要处理这些问题中的任何一个,那么OAuth除了提供一些改进的授权机制之外,并没有提供引人注目的好处:
- 范围
- 声称 信任
- 0
USER v INFRASTRUCTURE SECURITY
当涉及用户级安全时,我会使用OAuth,而不是用于您的场景,这更像是基础设施安全。
一些系统,如AWS或Kubernetes,为您提供内置的基础设施策略,其中API主机可以配置为仅允许具有CMP角色的主机调用。
如果可能的话,我更喜欢这种类型的基础设施安全选项,而不是编写代码来管理API密钥。