apigee 网关、authn 和 authz:REST API 调用另一个 REST API
apigee gateway, authn and authz: REST API calls another REST API
我们正在使用 apigee API 网关并公开一个 REST 端点。我们了解 apigee 支持 various options for securing 端点。
我们的用例是此 REST 端点应调用软件供应商提供的另一个 REST API。软件供应商有自己的身份验证和授权机制。基本上他们有用户和角色的概念。
我的问题是在这种情况下的最佳做法是什么?我们应该在网关级别还是在供应商 REST API 级别或两者进行 authn 和 authz?
无论如何,供应商 REST API 级别的 authn 和 authz 都无法转义。
求推荐。谢谢。
在您的情况下,首先取决于您是简单地在供应商 API 面前展示代理,还是您自己的 API 提供独特的服务而供应商的 API可能只是您的中间件为提供其整体价值所做的几个“调用”之一。另一种看待它的方法是问:您的 API 端点的客户是您的唯一客户,还是他们真的只是供应商基础 API 的客户?如果这是您自己的 API 'product',您可以选择使用自己的 API 客户端 AuthN/AuthZ 层,或者您可以选择将凭据直接传递给供应商 API 如果你的端点真的只是一个轻薄的抽象。 Net-net,这取决于您的端到端用例。
我们正在使用 apigee API 网关并公开一个 REST 端点。我们了解 apigee 支持 various options for securing 端点。
我们的用例是此 REST 端点应调用软件供应商提供的另一个 REST API。软件供应商有自己的身份验证和授权机制。基本上他们有用户和角色的概念。
我的问题是在这种情况下的最佳做法是什么?我们应该在网关级别还是在供应商 REST API 级别或两者进行 authn 和 authz?
无论如何,供应商 REST API 级别的 authn 和 authz 都无法转义。
求推荐。谢谢。
在您的情况下,首先取决于您是简单地在供应商 API 面前展示代理,还是您自己的 API 提供独特的服务而供应商的 API可能只是您的中间件为提供其整体价值所做的几个“调用”之一。另一种看待它的方法是问:您的 API 端点的客户是您的唯一客户,还是他们真的只是供应商基础 API 的客户?如果这是您自己的 API 'product',您可以选择使用自己的 API 客户端 AuthN/AuthZ 层,或者您可以选择将凭据直接传递给供应商 API 如果你的端点真的只是一个轻薄的抽象。 Net-net,这取决于您的端到端用例。