我有两个应用程序。其中一个可以与外界沟通,但需要一些来自我们在其他地方(在 Heroku 上)托管的内部 API 的数据。
我在考虑安全性。目前,我们的令牌授权正在运行 - 但我们可以做得更好。由于应用程序的范围完全是内部的,因此我们没有理由不必要地将 API 暴露给互联网,即使身份验证已经到位。
如果它不在 Heroku 上,我可以在 API 服务器上将其他服务器的 IP 列入白名单并完成此操作。这将大大减少我的攻击面。但是,我知道 Heroku 不允许我们操纵 IP 表,更糟糕的是 - dynos 不能保证具有静态 IP。但是,我确实有这些 Heroku 实例中的每一个的域。
有没有好的方法可以确保我的 API 服务器只能与我帐户中的其他 Heroku 应用程序通信?还是我必须将 API 服务器移至专用 VPS?