API 网关集群的安全注意事项?

Security considerations for API Gateway clustering?

  1. 通过 API 网关通过 HTTPS 针对 RESTful API
  2. 与单个入口点通信的客户端
  3. API 网关:API 用于跟踪和分析的密钥,用于 API 平台身份验证的 oAuth
  4. 用户微服务提供用户认证授权,生成签名加密的JWT(JWS,JWE)
  5. 其他微服务根据 JWT 内部的声明确定权限
  6. 微服务通过 PUB/SUB 在消息和其他信息中使用 JWT 进行内部通信。每个微服务都可以扩展为多个实例(带有负载均衡器的集群)。

问题我能否将 API 网关集群并在其前面放置负载均衡器。关于管理身份验证,我需要考虑什么?即:在 API 网关集群中共享 API 密钥?

额外说明,我计划在网关处终止 SSL 并在数据库中使用 bcrypt 作为密码。

任何反馈都很好,谢谢。

Can I cluster the the API Gateway and have the load balancer in front of it.

是的,你可以。大多数好的 Api 网关解决方案都将提供集群的能力。例如https://getkong.org/docs/0.9.x/clustering/ 或者您可以使用基于云的 Api 网关:Azure API 管理或 AWS API 网关

What do I need to consider with respect to managing authentication?

这些细节取决于您选择的 API 网关解决方案。