我的组织运营一个 REST API,该 API 只能从组织的内部网络访问;我正在开发托管在 Google 云上的单独服务,该服务需要调用该 API。
该 API 公开了一个 OpenAPI/Swagger 规范,我想使用它来创建一个小型(内部)代理应用程序,该应用程序应将请求转发到内部 API(通过例如 API 密钥限制外部世界的访问)。
是否有任何工具可以帮助创建或生成这样的代理,或者是否建议针对类似用例采用不同的方法?如果是这样,我还能如何让我的服务访问内部 API?
答案1
保护 API 并使其可通过互联网访问。即使在内部服务上,身份验证通常也是一个好主意,否则入侵 LAN 上主机的攻击者可以立即访问它。
围绕 API 网关和身份识别代理存在一系列中间件。如果需要,请选择一个并用作面向外部的接口。
机器可读的 API 规范对安全测试也很有帮助。将规范提供给机器或人类,并让它们尝试使用它来做一些奇怪的事情。为了获得灵感,请查看现有的 OpenAPI 工具。