API 安全管理

    HTTPS 在 HTTP 的基础上加入了 SSL 协议,对信息、数据加密,用来保证数据传输的安全。现如今被广泛使用。 API网关也支持使用HTTPS对您的API请求进行加密。可以控制到 API 级别,即您可以强制您的 API 只支持 HTTP、HTTPS 或者两者均支持。

    开启 HTTPS 参考 这里

    IP 拦截配置参考 。

    API 网关会按照配置的服务最大吞吐,对请求服务的流量去峰填谷,确保到达后端服务的请求速率在限定的吞吐内,保障后端服务不会因为处理大量的请求为导致无法提供服务或者服务质量高降低。

    跨站请求伪造,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。CSRF 利用的是站对用户网页浏览器的信任来执行某某些非法操作,具体的工具行为如下:

    1. 首先用户C浏览并登录了受信任站点A;
    2. 完成这一步以后,用户在没有登出(清除站点A的 cookie)站点A的情况下,访问恶意站点B;
    3. 这时恶意站点 B的某个页面向站点A发起请求,而这个请求会带上浏览器端所保存的站点A的cookie;

    配置跨站防护参考 这里