我已经在 Amazon API 网关上部署了我的 rest API,我面前有一个安全问题。我正在为所有 api 请求使用 api 密钥,我想知道该 api 密钥是否以某种方式暴露,并且我们知道已经发布的应用程序正在使用相同的 api 密钥......那我有什么选择呢?
同样如此处所述,如果我希望每个用户的 api 密钥是唯一的,则每个 AWS 账户只能拥有 10000 个 API 密钥,以便更安全,但如果用户数量超过 10000 个怎么办。
不
建议将 API 密钥用于授权。从每个 API 密钥收到的调用都会受到监控,并包含在您可以为每个阶段启用的 Amazon CloudWatch 日志中。
您应该使用 API 密钥来监控第三方开发人员的使用情况,并利用更强大的授权机制,例如 IAM 或自定义授权方。