我对Azure API管理服务以及如何在安全性方面使用它有一个问题。我看了看,找不到一个我可以自信的答案。
所以,我应该使用oauth2使用订阅键或访问令牌。
我认为拥有订阅密钥还不够好,因为这更多的是一种身份验证方法,因此,作为Oauth代币可以同时完成这两个方法。此外,我看不到使用订阅密钥和auth令牌的用例,因此我不确定理想用例是什么。
apim本身没有规定使用它的任何特定最佳方法,而是提供适合不同方案的不同选项。如果您询问如何对APIM进行身份验证/授权,则有几种方法:
- 订阅键。验证呼叫方并授权其呼叫某个产品/API范围的好方法。每次订阅的两个钥匙都可以选择随着时间的推移使它们易于旋转。这主要是适合场景,您要么需要单独使用APIM授权最终用户,要么将键入最终用户使用的应用程序嵌入。
- Oauth。APIM本身不能发行OAuth代币,因此,当我们在那里提供您是否拥有的第三方OAuth服务器时,这主要是合适的。通常,APIM在请求中对Oauth令牌是透明的,甚至无法使用它来验证对其内部用户数据库的呼叫,但是您可以选择使用Validate-JWT策略来要求使用此类令牌,寻找某些索赔,问题,检查,检查签名E.T.C。
- 客户证书。如果您控制客户端,则可以选择在APIM级别配置客户证书并配置策略以需要证书,检查其属性或验证其链条,包括提供您自己的CA和根证书的能力。
- IP过滤。不是那么高度的安全措施,而是一个选择。您可以将APIM配置为在指定IP范围之外的拒绝呼叫。
-
最佳用例是通过VPN连接保护后端API。这将在您的后端系统(ERP或任何其他系统(之间提供APIM之间的安全隧道https://learn.microsoft.com/en-us/azure/api-management/api-management-using-with-vnet
-
在下面还有一个很好的安全案例,https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad-aad