我已经在amazon API网关上部署了我的其余API,我面前有一个安全问题场景。我正在为所有的api请求使用一个api密钥,我想知道该api密钥是否以某种方式公开,并且正如我们所知,已经发布的应用程序正在使用相同的api密钥。。。那我有什么选择?
也如这里所述如果我希望每个用户的API密钥是唯一的,以便更安全,但如果用户数量超过10000,我每个AWS帐户只能有10000个API密钥。
请建议,因为这非常重要。
不建议使用API密钥进行授权。从每个API密钥接收的调用都会受到监控,并包含在您可以为每个阶段启用的Amazon CloudWatch日志中。您应该使用API密钥来监控第三方开发人员的使用情况,并利用更强大的授权机制,如IAM或自定义授权器。
希望这能帮助