API認證方式是涉及API安全的關鍵因素。一個安全的認證方式不僅要認證API請求的身份資訊,還要能夠對請求做一定的安全防護。如:防止請求被篡改、防止秘鑰洩露、防止請求重播攻擊等。是以API網關提供了第一版簽名“阿裡雲APP”的認證方式。
随後随着移動使用者逐漸增多,這使API網關不僅要提供對Websocket、HTTP2.0等協定的支援,優化API認證方式。于是推出了“OpenID Connect & 阿裡雲APP”的認證模式,通過Appkey+Token(使用者的登入名/密碼擷取的)模式來認證API請求,這樣不僅僅增加了安全性,還保留了API請求鑒權、APP級别的流量控制等。
然而還有一部分使用者的問題沒能解決,APP會存在反編譯的風險,純前端Js、Ajax調用不能存儲Appkey,且複雜的簽名讓其計算困難。并鑒于更多的使用者開始使用HTTPS,于是阿裡雲API網關推出了标準的OpenID Connect模式。
更安全:用戶端不需要存儲任何安全的資訊,即使token丢失也隻會損失這一個使用者的資訊;且token具備時效性,會在很短的時間内失效。讓前端的js或者APP更安全的使用API
更簡單:不需要進行複雜的簽名
APP或者前端程式需具備登入态,也就是說,使用者需要通過使用者名密碼登入您的程式或應用
為了保證不讓Token失效而讓使用者跳出登入,當Token過期時可以由程式自動發起擷取Token的操作
為了保證使用者名密碼的安全,建議要使用加密協定發起使用者名/密碼擷取Token的操作
為了保證安全應給Token設定時效性,時間長短可以視業務要求而定,不宜過長,過長會存在安全問題。也不宜過短,過短會損傷程式性能
為了避免使用者名/密碼被暴力破解,建議配置流量控制。可以視密碼強度而定,控制不宜過小或過大。
也可以加入API網關客服服務的釘釘群:11747055